Existen tres categorías de certificados autofirmados en NSX.

  • Certificados de plataforma
  • Certificados de servicios de NSX
  • Certificados de identidad principal

Consulte las siguientes secciones para obtener detalles sobre cada categoría de certificado. Es posible que haya otros tipos de certificados en NSX. Consulte la documentación de ese componente o aplicación para obtener más información sobre sus certificados.

A partir de NSX y NSX Federation 4.1, puede reemplazar los certificados internos autofirmados por certificados firmados por una CA mediante certificados basados en ECDSA que se generan mediante el cifrado AES 256. Para obtener una lista de certificados reemplazables, consulte Certificados para NSX y NSX Federation. Para obtener información detallada sobre los comandos, consulte la Guía de NSX API.
Nota: Aunque NSX admite claves secp256k1 para todos los certificados, no utilice esta clave si el entorno admite solo claves criptográficas aprobadas por FIPS.

Certificados de plataforma

Después de instalar NSX, desplácese hasta Sistema > Certificados para ver los certificados de la plataforma creados por el sistema. De forma predeterminada, estos certificados X.509 RSA 2048/SHA256 autofirmados se usan para la comunicación interna dentro de NSX y para la autenticación externa cuando se usa NSX Manager para acceder a las API o la interfaz de usuario.

Los certificados internos no se pueden ver ni editar.

Si se utilizó VMware Cloud Foundation™ (VCF) para implementar NSX, los certificados de clúster y API de NSX predeterminados se reemplazarán por certificados de CA firmados por la VMware Certificate Authority (VMCA) de vCenter. Es posible que los certificados del clúster y la API sigan apareciendo en la lista de certificados, pero no se utilicen. Reemplace los certificados firmados por una entidad de certificación siguiendo el procedimiento descrito en la Guía de administración de VMF. Después de realizar el reemplazo, los almacenes de NSX Manager en la interfaz de usuario contendrán los certificados de clúster y API, los certificados de CA de VMCA y los certificados firmados por la organización de terceros. A partir de entonces, NSX Manager utilizará el certificado firmado de su organización.

Tabla 1. Certificados de plataforma en NSX
Convención de nomenclatura en NSX Manager Propósito ¿Reemplazable? Validez predeterminada
API (previously known as tomcat) Esto sirve como certificado de servidor para el cliente de API/UI que llega al puerto HTTPS de NSX Manager (puerto 443). Sí. Consulte Reemplazar certificados 825 días
Cluster (previously known as mp-cluster) Este certificado funciona como un certificado de servidor para el cliente de API/UI que llega al puerto HTTPS de la VIP del clúster (puerto 443) cuando se utiliza una VIP para un clúster de NSX Manager. Sí. Consulte Reemplazar certificados 825 días
Otros certificados Certificados específicamente para otros fines: incluidos NSX Federation, Cluster Boot Manager (CBM), y el plano de control central (CCP).

Consulte Certificados para NSX y NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para entornos de NSX y NSX Federation.

 Varía

Certificados de NSX Service

Los certificados de servicio de NSX están orientados al usuario para servicios como el equilibrador de carga, la VPN y la inspección TLS. La API de directivas administra los certificados de servicio. La plataforma utiliza certificados que no son de servicio para tareas como la administración de clústeres. El plano de administración (MP) o las API del almacén de confianza administraban certificados que no eran de servicio.

Al agregar certificados de servicio mediante la API de directiva, el certificado se envía a la API de MP/truststore, pero no con la relación inversa.

Los certificados del servicio de NSX no se pueden autofirmar. Debe importarlos. Consulte instrucciones en Importar y reemplazar certificados.

Puede generar un certificado de entidad de certificación (CA) raíz y una clave privada basada en RSA. Los certificados de CA pueden firmar otros certificados.

Puede utilizar una solicitud de firma de certificado (CSR) como certificado de servicio de NSX si está firmada por una CA (local o pública, como Verisign). Una vez que la CSR esté firmada, podrá importar ese certificado a NSX Manager. Se puede generar una CSR en NSX Manager o fuera de NSX Manager. La etiqueta Certificado de servicio está desactivada para las CSR generadas en NSX Manager. Por lo tanto, las CSR firmadas no pueden utilizarse como certificados de servicio, sino solo como certificados de plataforma.

Los certificados de servicio de NSX y de plataforma se almacenan por separado dentro del sistema, y los certificados importados como certificados de servicio de NSX no se pueden utilizar para plataforma o viceversa.

Certificados de identidad principal (PI)

Las solicitudes de API utilizan certificados de PI. Los certificados de PI son uno de los mecanismos de autenticación de NSX Manager. Cualquier cliente de NSX Manager puede crear y utilizar un certificado PI. Es el método preferido para la comunicación entre máquinas.

PI para plataformas de administración de nube (CMP), como OpenStack, utiliza certificados X.509 que se cargan al incorporar una CMP como cliente. Puede consultar información sobre la asignación de funciones a la identidad principal y el reemplazo de certificados de PI en Agregar una asignación de funciones o la identidad principal

PI para NSX Federation utiliza certificados de plataforma X.509 para los dispositivos de Local Manager y Global Manager. Consulte Certificados para NSX y NSX Federation para obtener más información sobre los certificados autofirmados configurados automáticamente para NSX Federation.