Il existe trois catégories de certificats auto-signés dans NSX.
- Certificats de plate-forme
- Certificats de NSX Services
- Certificats d'identité de principal
Certificats de plate-forme
Après l'installation de NSX, accédez à pour afficher les certificats de plate-forme créés par le système. Par défaut, il s'agit de certificats auto-signés X.509 RSA 2048/SHA256 pour la communication interne dans NSX et pour l'authentification externe lors de l'accès à NSX Manager à l'aide d'API ou de l'interface utilisateur.
Les certificats internes ne sont pas visibles ou modifiables.
VMware Cloud Foundation™ (VCF) a été utilisé pour déployer NSX. Les certificats d'API NSX et de cluster par défaut sont remplacés par des certificats d'autorité de certification signés par VMware Certificate Authority (VMCA) à partir de vCenter. Les certificats d'API et de cluster peuvent toujours s'afficher dans la liste de certificats, mais ne sont pas utilisés. Remplacez les certificats signés par une autorité de certification à l'aide de la procédure du Guide d'administration de VCF. Après avoir effectué le remplacement, vos stocks NSX Manager dans l'interface utilisateur contiennent les certificats d'API et de cluster, les certificats d'autorité de certification VMCA et les certificats signés par l'organisation tierce. Désormais, le dispositif NSX Manager utilise le certificat signé de votre organisation.
Convention de dénomination dans NSX Manager | Objectif | Remplaçable ? | Validité par défaut |
---|---|---|---|
tomcat | Il s'agit d'un certificat API utilisé pour la communication externe avec des nœuds NSX Manager individuels via l'interface utilisateur/l'API. | Oui. Reportez-vous à la section Remplacer des certificats. | 825 jours |
mp-cluster | Il s'agit d'un certificat API utilisé pour la communication externe avec le cluster NSX Manager à l'aide de l'adresse IP virtuelle du cluster, via l'interface utilisateur/l'API. | Oui. Reportez-vous à la section Remplacer des certificats. | 825 jours |
Certificats supplémentaires | Certificats spécifiques pour Fédération NSX. Si vous n'utilisez pas Fédération NSX, ces certificats ne sont pas utilisés. | Reportez-vous à Certificats pour Fédération NSX pour plus d'informations sur les certificats auto-signés configurés automatiquement pour Fédération NSX. |
|
Non visible dans l'interface utilisateur | Certificats utilisés pour la communication interne entre différents composants système. | Non | 10 ans |
Certificats de service NSX
Les certificats de service NSX sont orientés utilisateur pour les services, tels que l'équilibreur de charge, VPN et l'inspection TLS. L'API de stratégie gère les certificats de service. Les certificats non associés au service sont utilisés par la plate-forme pour des tâches telles que la gestion des clusters. Le volet de gestion (MP) ou les API du magasin d'approbations gèrent les certificats non associés au service.
Lors de l'ajout de certificats de service à l'aide de l'API de stratégie, le certificat est envoyé à l'API de MP/magasin d'approbations, mais pas inversement.
Les certificats de service NSX ne peuvent pas être auto-signés. Vous devez les importer. Reportez-vous à la section Importation et remplacement de certificats pour obtenir des instructions.
Vous pouvez générer un certificat d'autorité de certification racine et une clé privée basée sur RSA. Les certificats d'autorité de certification peuvent signer d'autres certificats.
Une demande de signature de certificat (CSR) peut être utilisée comme certificat de service NSX si elle est signée par une autorité de certification (autorité de certification locale ou publique telle que Verisign). Une fois la CSR signée, vous pouvez importer ce certificat signé dans NSX Manager. Une CSR peut être générée sur un dispositif NSX Manager ou en dehors de NSX Manager. Notez que l'indicateur Certificat de service est désactivé pour les CSR générées sur NSX Manager. Par conséquent, ces CSR signées ne peuvent pas être utilisées comme certificats de service, mais uniquement comme certificats de plate-forme.
Les certificats de service NSX et de plate-forme sont stockés séparément dans le système. Les certificats importés en tant que certificat de service NSX ne peuvent pas être utilisés pour la plate-forme ou l'inverse.
Certificats d'identité de principal (PI)
Les certificats PI peuvent être utilisés pour les services ou pour la plate-forme.
PI pour les plateformes de gestion du Cloud (CMP), telles qu'OpenStack, utilise des certificats X.509 qui sont téléchargés lors de l'intégration d'une CMP en tant que client. Pour plus d'informations sur l'attribution de rôles à l'identité de principal et le remplacement de certificats PI, reportez-vous à Ajouter une attribution de rôle ou une identité de principal
PI pour Fédération NSX utilise des certificats de plate-forme X.509 pour les dispositifs de gestionnaire local et de gestionnaire global. Reportez-vous à Certificats pour Fédération NSX pour plus d'informations sur les certificats auto-signés configurés automatiquement pour Fédération NSX.