Certificats de plate-forme

Après l'installation de NSX-T Data Center, accédez à Système > Certificats pour afficher les certificats de plate-forme créés par le système. Par défaut, il s'agit de certificats auto-signés X.509 RSA 2048/SHA256 pour la communication interne dans NSX-T Data Center et pour l'authentification externe lors de l'accès à NSX Manager à l'aide d'API ou de l'interface utilisateur.

Les certificats internes ne sont pas visibles ou modifiables.

VMware Cloud Foundation™ (VCF) a été utilisé pour déployer NSX-T Data Center. Les certificats d'API NSX-T Data Center et de cluster par défaut sont remplacés par des certificats d'autorité de certification signés par VMware Certificate Authority (VMCA) à partir de vCenter. Les certificats d'API et de cluster peuvent toujours s'afficher dans la liste de certificats, mais ne sont pas utilisés. Remplacez les certificats signés par une autorité de certification à l'aide de la procédure du Guide d'administration de VCF. Après avoir effectué le remplacement, vos stocks NSX Manager dans l'interface utilisateur contiennent les certificats d'API et de cluster, les certificats d'autorité de certification VMCA et les certificats signés par l'organisation tierce. Désormais, le dispositif NSX Manager utilise le certificat signé de votre organisation.

Certificats de service NSX

Les certificats de service NSX sont orientés utilisateur pour les services, tels que l'équilibreur de charge, VPN et l'inspection TLS. L'API de stratégie gère les certificats de service. Les certificats non associés au service sont utilisés par la plate-forme pour des tâches telles que la gestion des clusters. Le volet de gestion (MP) ou les API du magasin d'approbations gèrent les certificats non associés au service.

Lors de l'ajout de certificats de service à l'aide de l'API de stratégie, le certificat est envoyé à l'API de MP/magasin d'approbations, mais pas inversement.

Les certificats de service NSX ne peuvent pas être auto-signés. Vous devez les importer. Reportez-vous à la section Importation et remplacement de certificats pour obtenir des instructions.

Vous pouvez générer un certificat d'autorité de certification racine et une clé privée basée sur RSA. Les certificats d'autorité de certification peuvent signer d'autres certificats.

Une demande de signature de certificat (CSR) peut être utilisée comme certificat de service NSX si elle est signée par une autorité de certification (autorité de certification locale ou publique telle que Verisign). Une fois la CSR signée, vous pouvez importer ce certificat signé dans NSX Manager. Une CSR peut être générée sur un dispositif NSX Manager ou en dehors de NSX Manager. Notez que l'indicateur Certificat de service est désactivé pour les CSR générées sur NSX Manager. Par conséquent, ces CSR signées ne peuvent pas être utilisées comme certificats de service, mais uniquement comme certificats de plate-forme.

Les certificats de service NSX et de plate-forme sont stockés séparément dans le système. Les certificats importés en tant que certificat de service NSX ne peuvent pas être utilisés pour la plate-forme ou l'inverse.

Certificats d'identité de principal (PI)

Les certificats PI peuvent être utilisés pour les services ou pour la plate-forme.

PI pour les plateformes de gestion du Cloud (CMP), telles qu'OpenStack, utilise des certificats X.509 qui sont téléchargés lors de l'intégration d'une CMP en tant que client. Pour plus d'informations sur l'attribution de rôles à l'identité de principal et le remplacement de certificats PI, reportez-vous à Ajouter une attribution de rôle ou une identité de principal

PI pour NSX fédération utilise des certificats de plate-forme X.509 pour les dispositifs de gestionnaire local et de gestionnaire global. Reportez-vous à Certificats pour NSX fédération pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX fédération.