Certificati piattaforma

Dopo l'installazione di NSX, passare a Sistema > Certificati per visualizzare i certificati della piattaforma creati dal sistema. Per impostazione predefinita, si tratta di certificati autofirmati X.509 RSA 2048/SHA256 per le comunicazioni interne in NSX e per l'autenticazione esterna quando si accede a NSX Manager tramite API o l'interfaccia utente.

I certificati interni non possono essere visualizzati o modificati.

Se per distribuire NSX è stato utilizzato VMware Cloud Foundation™ (VCF), i certificati predefiniti dell'API e del cluster di NSX vengono sostituiti con i certificati CA firmati dalla VMware Certificate Authority (VMCA) di vCenter. I certificati dell'API e del cluster potrebbero ancora essere visualizzati nell'elenco dei certificati, ma non vengono utilizzati. Sostituire i certificati firmati dall'autorità di certificazione utilizzando la procedura descritta nella Guida all'amministrazione di VCF. Dopo aver eseguito la sostituzione, gli archivi di NSX Manager nell'interfaccia utente contengono i certificati dell'API e del cluster, i certificati CA VMCA e i certificati firmati dall'organizzazione di terze parti. Da quel momento in poi, NSX Manager utilizza il certificato firmato dall'organizzazione.

Certificati di servizio NSX

I certificati di servizio NSX sono offerti all'utente per servizi come il bilanciamento del carico, VPN e Ispezione TLS. L'API criterio gestisce i certificati di servizio. I certificati non di servizio vengono utilizzati dalla piattaforma per attività come la gestione cluster. I certificati non di servizio sono gestiti dalle API di archivio attendibilità e riquadro di gestione.

Quando si aggiungono certificati di servizio utilizzando l'API criterio, il certificato viene inviato all'API del riquadro di gestione o dell'archivio attendibilità, ma non viceversa.

I certificati di servizio NSX non possono essere autofirmati. È necessario importarli. Per istruzioni, vedere Importazione e sostituzione di certificati.

È possibile generare un certificato dell'autorità di certificazione (CA) root e una chiave privata basata su RSA. I certificati CA sono in grado di firmare altri certificati.

Una richiesta di firma del certificato (CSR) può essere utilizzata come certificato di servizio NSX se è firmato da un'autorità di certificazione (CA locale o CA pubblica come Verisign). Una volta firmata la richiesta CSR, è possibile importare il certificato firmato in NSX Manager. È possibile generare una richiesta CSR in NSX Manager o al di fuori di NSX Manager. Si noti che il flag Certificato di servizio è disabilitato per le richieste CSR generate in NSX Manager. Pertanto, tali richieste CSR firmate non possono essere utilizzate come certificati di servizio, ma solo come certificati di piattaforma.

I certificati di piattaforma e di servizio NSX vengono archiviati separatamente nel sistema e i certificati importati come certificato di servizio NSX non possono essere utilizzati per la piattaforma o viceversa.

Certificati di identità principale (PI)

I certificati PI possono essere destinati ai servizi o alla piattaforma.

Un'identità principale per le piattaforme di gestione del cloud (CMP), come Openstack, utilizza i certificati X.509 caricati durante l'onboarding di un CMP come client. Per informazioni sull'assegnazione dei ruoli all'identità principale e sulla sostituzione dei certificati PI, vedere Aggiunta di un'assegnazione di ruolo o di un'identità entità

L'identità principale per federazione di NSX utilizza certificati di piattaforma X.509 per le appliance di Local Manager e Global Manager. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per federazione di NSX.