Il existe trois catégories de certificats auto-signés dans NSX-T Data Center.

  • Certificats de plate-forme
  • Certificats de NSX Services
  • Certificats d'identité de principal

Reportez-vous aux sections suivantes pour plus d'informations sur chaque catégorie de certificat.

Certificats de plate-forme

Après l'installation de NSX-T Data Center, accédez à Système > Certificats pour afficher les certificats de plate-forme créés par le système. Par défaut, il s'agit de certificats auto-signés X.509 RSA 2048/SHA256 pour la communication interne dans NSX-T Data Center et pour l'authentification externe lors de l'accès à NSX Manager à l'aide d'API ou de l'interface utilisateur.

Les certificats internes ne sont pas visibles ou modifiables.

Tableau 1. Certificats de plate-forme dans NSX-T Data Center
Convention de dénomination dans NSX Manager Objectif Remplaçable ? Validité par défaut
tomcat Il s'agit d'un certificat API utilisé pour la communication externe avec des nœuds NSX Manager individuels via l'interface utilisateur/l'API. Oui.

Reportez-vous à la section Remplacer des certificats.
825 jours
mp-cluster Il s'agit d'un certificat API utilisé pour la communication externe avec le cluster NSX Manager à l'aide de l'adresse IP virtuelle du cluster, via l'interface utilisateur/l'API. Oui.

Reportez-vous à la section Remplacer des certificats.
825 jours
Certificats supplémentaires Certificats spécifiques pour NSX Federation. Si vous n'utilisez pas NSX Federation, ces certificats ne sont pas utilisés.

Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.

Non visible dans l'interface utilisateur Certificats utilisés pour la communication interne entre différents composants système. Non 10 ans

Certificats de service NSX

Les certificats de service NSX sont orientés utilisateur pour les services, tels que l'équilibreur de charge, VPN et l'inspection TLS. L'API de stratégie gère les certificats de service. Les certificats non associés au service sont utilisés par la plate-forme pour des tâches telles que la gestion des clusters. Le volet de gestion (MP) ou les API du magasin d'approbations gèrent les certificats non associés au service.

Lors de l'ajout de certificats de service à l'aide de l'API de stratégie, le certificat est envoyé à l'API de MP/magasin d'approbations, mais pas inversement.

Les certificats de service NSX ne peuvent pas être auto-signés. Vous devez les importer. Reportez-vous à la section Importation et remplacement de certificats pour obtenir des instructions.

À partir de NSX-T Data Center 3.2, vous pouvez générer un certificat d'autorité de certification racine et une clé privée basée sur RSA. Les certificats d'autorité de certification peuvent signer d'autres certificats.

Une demande de signature de certificat (CSR) peut être utilisée comme certificat de service NSX si elle est signée par une autorité de certification (autorité de certification locale ou publique telle que Verisign). Une fois la CSR signée, vous pouvez importer ce certificat signé dans NSX Manager. Une CSR peut être générée sur un dispositif NSX Manager ou en dehors de NSX Manager. Notez que l'indicateur Certificat de service est désactivé pour les CSR générées sur NSX Manager. Par conséquent, ces CSR signées ne peuvent pas être utilisées comme certificats de service, mais uniquement comme certificats de plate-forme.

Les certificats de service NSX et de plate-forme sont stockés séparément dans le système. Les certificats importés en tant que certificat de service NSX ne peuvent pas être utilisés pour la plate-forme ou l'inverse.

Certificats d'identité de principal (PI)

Les certificats PI peuvent être utilisés pour les services ou pour la plate-forme.

PI pour les plateformes de gestion du Cloud (CMP), telles qu'OpenStack, utilise des certificats X.509 qui sont téléchargés lors de l'intégration d'une CMP en tant que client. Pour plus d'informations sur l'attribution de rôles à l'identité de principal et le remplacement de certificats PI, reportez-vous à Ajouter une attribution de rôle ou une identité de principal

PI pour NSX Federation utilise des certificats de plate-forme X.509 pour les dispositifs de gestionnaire local et de gestionnaire global. Reportez-vous à Certificats pour NSX Federation pour plus d'informations sur les certificats auto-signés configurés automatiquement pour NSX Federation.

Note : Bien que NSX-T Data Center prenne en charge les clés secp256k1 pour les certificats d'identité de principal, n'utilisez pas cette clé si votre environnement nécessite uniquement des clés cryptographiques approuvées par FIPS.