Existen tres categorías de certificados autofirmados en NSX.
- Certificados de plataforma
- Certificados de NSX Services
- Certificados de identidad principal
Certificados de plataforma
Después de instalar NSX, desplácese hasta para ver los certificados de la plataforma creados por el sistema. De forma predeterminada, estos son los certificados X.509 RSA 2048/SHA256 autofirmados para la comunicación interna dentro de NSX y para la autenticación externa cuando se accede a NSX Manager mediante un API o la interfaz de usuario.
Los certificados internos no se pueden ver ni editar.
Si se utilizó VMware Cloud Foundation™ (VCF) para implementar NSX, los certificados de clúster y API de NSX predeterminados se reemplazarán por certificados de CA firmados por la VMware Certificate Authority (VMCA) de vCenter. Es posible que los certificados del clúster y la API sigan apareciendo en la lista de certificados, pero no se utilicen. Reemplace los certificados firmados por una entidad de certificación siguiendo el procedimiento descrito en la Guía de administración de VMF. Después de realizar el reemplazo, los almacenes de NSX Manager en la interfaz de usuario contendrán los certificados de clúster y API, los certificados de CA de VMCA y los certificados firmados por la organización de terceros. A partir de entonces, NSX Manager utilizará el certificado firmado de su organización.
Convención de nomenclatura en NSX Manager | Propósito | ¿Reemplazable? | Validez predeterminada |
---|---|---|---|
tomcat | Se trata de un certificado de API que se utiliza para la comunicación externa con nodos individuales de NSX Manager a través de interfaz de usuario/API. | Sí. Consulte Reemplazar certificados | 825 días |
mp-cluster | Se trata de un certificado de API que se utiliza para la comunicación externa con el clúster de NSX Manager mediante la VIP del clúster a través de interfaz de usuario/API. | Sí. Consulte Reemplazar certificados | 825 días |
Certificados adicionales | Certificados específicamente para NSX Federation. Si no utiliza NSX Federation, no se utilizará este certificado. | Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation. |
|
No visible en la interfaz de usuario | Certificados que se utilizan para la comunicación interna entre diferentes componentes del sistema. | No | 10 años |
Certificados de NSX Service
Los certificados de servicio de NSX están orientados al usuario para servicios como el equilibrador de carga, la VPN y la inspección TLS. La API de directivas administra los certificados de servicio. La plataforma utiliza certificados que no son de servicio para tareas como la administración de clústeres. El panel de administración (MP) o las API del almacén de confianza administraban certificados que no eran de servicio.
Al agregar certificados de servicio mediante la API de directiva, el certificado se envía a la API de MP/truststore, pero no al revés.
Los certificados del servicio de NSX no se pueden autofirmar. Debe importarlos. Consulte instrucciones en Importar y reemplazar certificados.
Puede generar un certificado de entidad de certificación (CA) raíz y una clave privada basada en RSA. Los certificados de CA pueden firmar otros certificados.
Se puede utilizar una solicitud de firma de certificado (CSR) como certificado de servicio de NSX si está firmada por una CA (local o pública, como Verisign). Una vez que la CSR esté firmada, podrá importar ese certificado a NSX Manager. Se puede generar una CSR en NSX Manager o fuera de NSX Manager. Tenga en cuenta que la etiqueta Certificado de servicio está deshabilitada para las CSR generadas en NSX Manager. Por lo tanto, estas CSR firmadas no pueden utilizarse como certificados de servicio, sino solo como certificados de plataforma.
Los certificados de servicio de NSX y de plataforma se almacenan por separado dentro del sistema, y los certificados importados como certificados de servicio de NSX no se pueden utilizar para plataforma o viceversa.
Certificados de identidad principal (PI)
Los certificados de PI pueden ser para servicios o para plataforma.
PI para plataformas de administración de nube (CMP), como OpenStack, utiliza certificados X.509 que se cargan al incorporar una CMP como cliente. Puede consultar información sobre la asignación de funciones a la identidad principal y el reemplazo de certificados de PI en Agregar una asignación de funciones o la identidad principal
PI para NSX Federation utiliza certificados de plataforma X.509 para los dispositivos de Local Manager y Global Manager. Consulte Certificados para NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.