In NSX-T Data Center sono presenti tre categorie di certificati autofirmati.
- Certificati piattaforma
- Certificati di NSX Services
- Certificati di identità principale
Certificati piattaforma
Dopo l'installazione di NSX-T Data Center, passare a per visualizzare i certificati della piattaforma creati dal sistema. Per impostazione predefinita, si tratta di certificati autofirmati X.509 RSA 2048/SHA256 per le comunicazioni interne in NSX-T Data Center e per l'autenticazione esterna quando si accede a NSX Manager tramite API o l'interfaccia utente.
I certificati interni non possono essere visualizzati o modificati.
Se per distribuire NSX-T Data Center è stato utilizzato VMware Cloud Foundation™ (VCF), i certificati predefiniti dell'API e del cluster di NSX-T Data Center vengono sostituiti con i certificati CA firmati dalla VMware Certificate Authority (VMCA) di vCenter. I certificati dell'API e del cluster potrebbero ancora essere visualizzati nell'elenco dei certificati, ma non vengono utilizzati. Sostituire i certificati firmati dall'autorità di certificazione utilizzando la procedura descritta nella Guida all'amministrazione di VCF. Dopo aver eseguito la sostituzione, gli archivi di NSX Manager nell'interfaccia utente contengono i certificati dell'API e del cluster, i certificati CA VMCA e i certificati firmati dall'organizzazione di terze parti. Da quel momento in poi, NSX Manager utilizza il certificato firmato dall'organizzazione.
Convenzione di denominazione in NSX Manager | Scopo | Sostituibile? | Validità predefinita |
---|---|---|---|
tomcat | Questo è un certificato API utilizzato per le comunicazioni esterne con singoli nodi NSX Manager tramite interfaccia utente/API. | Sì. Vedere Sostituzione di certificati | 825 giorni |
mp-cluster | Si tratta di un certificato API utilizzato per le comunicazioni esterne con il cluster di NSX Manager utilizzando il VIP del cluster tramite interfaccia utente/API. | Sì. Vedere Sostituzione di certificati | 825 giorni |
Certificati aggiuntivi | Certificati specifici per federazione di NSX. Se non si utilizza federazione di NSX, questi certificati non vengono utilizzati. | Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per federazione di NSX. |
|
Non visibile nell'interfaccia utente | Certificati utilizzati per la comunicazione interna tra diversi componenti del sistema. | No | 10 anni |
Certificati di servizio NSX
I certificati di servizio NSX sono offerti all'utente per servizi come il bilanciamento del carico, VPN e Ispezione TLS. L'API criterio gestisce i certificati di servizio. I certificati non di servizio vengono utilizzati dalla piattaforma per attività come la gestione cluster. I certificati non di servizio sono gestiti dalle API di archivio attendibilità e riquadro di gestione.
Quando si aggiungono certificati di servizio utilizzando l'API criterio, il certificato viene inviato all'API del riquadro di gestione o dell'archivio attendibilità, ma non viceversa.
I certificati di servizio NSX non possono essere autofirmati. È necessario importarli. Per istruzioni, vedere Importazione e sostituzione di certificati.
È possibile generare un certificato dell'autorità di certificazione (CA) root e una chiave privata basata su RSA. I certificati CA sono in grado di firmare altri certificati.
Una richiesta di firma del certificato (CSR) può essere utilizzata come certificato di servizio NSX se è firmato da un'autorità di certificazione (CA locale o CA pubblica come Verisign). Una volta firmata la richiesta CSR, è possibile importare il certificato firmato in NSX Manager. È possibile generare una richiesta CSR in NSX Manager o al di fuori di NSX Manager. Si noti che il flag Certificato di servizio è disabilitato per le richieste CSR generate in NSX Manager. Pertanto, tali richieste CSR firmate non possono essere utilizzate come certificati di servizio, ma solo come certificati di piattaforma.
I certificati di piattaforma e di servizio NSX vengono archiviati separatamente nel sistema e i certificati importati come certificato di servizio NSX non possono essere utilizzati per la piattaforma o viceversa.
Certificati di identità principale (PI)
I certificati PI possono essere destinati ai servizi o alla piattaforma.
Un'identità principale per le piattaforme di gestione del cloud (CMP), come Openstack, utilizza i certificati X.509 caricati durante l'onboarding di un CMP come client. Per informazioni sull'assegnazione dei ruoli all'identità principale e sulla sostituzione dei certificati PI, vedere Aggiunta di un'assegnazione di ruolo o di un'identità entità
L'identità principale per federazione di NSX utilizza certificati di piattaforma X.509 per le appliance di Local Manager e Global Manager. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per federazione di NSX.