Il existe trois catégories de certificats auto-signés dans NSX-T Data Center.
- Certificats de plate-forme
- Certificats de NSX Services
- Certificats d'identité de principal
Reportez-vous aux sections suivantes pour plus d'informations sur chaque catégorie de certificat.
Certificats de plate-forme
Après l'installation de NSX-T Data Center, accédez à pour afficher les certificats de plate-forme créés par le système. Par défaut, il s'agit de certificats auto-signés X.509 RSA 2048/SHA256 pour la communication interne dans NSX-T Data Center et pour l'authentification externe lors de l'accès à NSX Manager à l'aide d'API ou de l'interface utilisateur.
Les certificats internes ne sont pas visibles ou modifiables.
Convention de dénomination dans NSX Manager | Objectif | Remplaçable ? | Validité par défaut |
---|---|---|---|
tomcat | Il s'agit d'un certificat API utilisé pour la communication externe avec des nœuds NSX Manager individuels via l'interface utilisateur/l'API. | Oui. Reportez-vous à la section Remplacer des certificats. | 825 jours |
mp-cluster | Il s'agit d'un certificat API utilisé pour la communication externe avec le cluster NSX Manager à l'aide de l'adresse IP virtuelle du cluster, via l'interface utilisateur/l'API. | Oui. Reportez-vous à la section Remplacer des certificats. | 825 jours |
Certificats supplémentaires | Certificats spécifiques pour NSX Federation. Si vous n'utilisez pas NSX Federation, ces certificats ne sont pas utilisés. | Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation. |
|
Non visible dans l'interface utilisateur | Certificats utilisés pour la communication interne entre différents composants système. | Non | 10 ans |
Certificats de service NSX
Les certificats de service NSX sont utilisés pour les services tels que l'équilibreur de charge et le VPN.
Les certificats de service NSX ne peuvent pas être auto-signés. Vous devez les importer. Reportez-vous à la section Importation et remplacement de certificats pour obtenir des instructions.
Une demande de signature de certificat (CSR) peut être utilisée comme certificat de service NSX si elle est signée par une autorité de certification (autorité de certification locale ou publique telle que Verisign). Une fois la CSR signée, vous pouvez importer ce certificat signé dans NSX Manager. Une CSR peut être générée sur un dispositif NSX Manager ou en dehors de NSX Manager. Notez que l'indicateur Certificat de service est désactivé pour les CSR générées sur NSX Manager. Par conséquent, ces CSR signées ne peuvent pas être utilisées comme certificats de service, mais uniquement comme certificats de plate-forme.
Les certificats de service NSX et de plate-forme sont stockés séparément dans le système. Les certificats importés en tant que certificat de service NSX ne peuvent pas être utilisés pour la plate-forme ou l'inverse.
Certificats d'identité de principal (PI)
Les certificats PI peuvent être utilisés pour les services ou pour la plate-forme.
PI pour les plateformes de gestion du Cloud (CMP), telles qu'OpenStack, utilise des certificats X.509 qui sont téléchargés lors de l'intégration d'une CMP en tant que client. Pour plus d'informations sur l'attribution de rôles à l'identité de principal et le remplacement de certificats PI, reportez-vous à Ajouter une attribution de rôle ou une identité de principal
PI pour NSX Federation utilise des certificats de plate-forme X.509 pour les dispositifs de gestionnaire local et de gestionnaire global. Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.