In NSX sono presenti tre categorie di certificati autofirmati.

  • Certificati piattaforma
  • Certificati di servizio NSX
  • Certificati di identità principale

Per dettagli su ogni categoria di certificati, fare riferimento alle sezioni seguenti. Alcuni tipi di certificati potrebbero essere presenti in NSX. Per dettagli sui relativi certificati, fare riferimento alla documentazione del componente o dell'applicazione.

A partire da NSX e federazione di NSX 4.1, è possibile sostituire i certificati interni autofirmati con certificati firmati dall'autorità di certificazione utilizzando certificati basati su ECDSA generati tramite la crittografia AES 256. Per un elenco di certificati sostituibili, fare riferimento a Certificati per NSX e federazione di NSX. Per dettagli sul comando, vedere la Guida di NSX API.
Nota: Sebbene NSX supporti le chiavi secp256k1 per tutti i certificati, si consiglia di non utilizzare questa chiave se l'ambiente in uso richiede solo chiavi crittografiche approvate da FIPS.

Certificati piattaforma

Dopo l'installazione di NSX, passare a Sistema > Certificati per visualizzare i certificati della piattaforma creati dal sistema. Per impostazione predefinita, si tratta di certificati autofirmati X.509 RSA 2048/SHA256 per le comunicazioni interne in NSX e per l'autenticazione esterna quando si utilizza NSX Manager per accedere all'API o all'interfaccia utente.

I certificati interni non possono essere visualizzati o modificati.

Se per distribuire NSX è stato utilizzato VMware Cloud Foundation™ (VCF), i certificati predefiniti dell'API e del cluster di NSX vengono sostituiti con i certificati CA firmati dalla VMware Certificate Authority (VMCA) di vCenter. I certificati dell'API e del cluster potrebbero ancora essere visualizzati nell'elenco dei certificati, ma non vengono utilizzati. Sostituire i certificati firmati dall'autorità di certificazione utilizzando la procedura descritta nella Guida all'amministrazione di VCF. Dopo aver eseguito la sostituzione, gli archivi di NSX Manager nell'interfaccia utente contengono i certificati dell'API e del cluster, i certificati CA VMCA e i certificati firmati dall'organizzazione di terze parti. Da quel momento in poi, NSX Manager utilizza il certificato firmato dall'organizzazione.

Tabella 1. Certificati piattaforma in NSX
Convenzione di denominazione in NSX Manager Scopo Sostituibile? Validità predefinita
API (previously known as tomcat) Questo funge da certificato server per il client API/interfaccia utente che raggiunge la porta HTTPS (porta 443) di NSX Manager. Sì. Vedere Sostituzione di certificati 825 giorni
Cluster (previously known as mp-cluster) Questo certificato funge da certificato server per il client API/interfaccia utente che raggiunge la porta HTTPS (porta 443) del VIP del cluster quando viene utilizzato un VIP per un cluster NSX Manager. Sì. Vedere Sostituzione di certificati 825 giorni
Altri certificati Certificati specifici per altri scopi, tra cui federazione di NSX, Cluster Boot Manager (CBM) e Piano di controllo centrale (CCP).

Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per ambienti NSX e federazione di NSX, vedere Certificati per NSX e federazione di NSX.

 Vari

Certificati di servizio NSX

I certificati di servizio NSX sono offerti all'utente per servizi come il bilanciamento del carico, VPN e Ispezione TLS. L'API criterio gestisce i certificati di servizio. I certificati non di servizio vengono utilizzati dalla piattaforma per attività come la gestione cluster. I certificati non di servizio sono gestiti dalle API di archivio attendibilità e Piano di gestione.

Quando si aggiungono certificati di servizio utilizzando l'API criterio, il certificato viene inviato all'API di archivio attendibilità/riquadro di gestione, ma non viceversa.

I certificati di servizio NSX non possono essere autofirmati. È necessario importarli. Per istruzioni, vedere Importazione e sostituzione di certificati.

È possibile generare un certificato dell'autorità di certificazione (CA) root e una chiave privata basata su RSA. I certificati CA sono in grado di firmare altri certificati.

Una richiesta di firma del certificato (CSR) può essere utilizzata come certificato di servizio NSX se è firmato da un'autorità di certificazione (CA locale o CA pubblica come Verisign). Una volta firmata la richiesta CSR, è possibile importare il certificato firmato in NSX Manager. È possibile generare una richiesta CSR in NSX Manager o al di fuori di NSX Manager. Il flag Certificato di servizio è disattivato per le richieste CSR generate in NSX Manager. Pertanto, le richieste CSR firmate non possono essere utilizzate come certificati di servizio, ma solo come certificati di piattaforma.

I certificati di piattaforma e di servizio NSX vengono archiviati separatamente nel sistema e i certificati importati come certificato di servizio NSX non possono essere utilizzati per la piattaforma o viceversa.

Certificati di identità principale (PI)

Le richieste dell'API utilizzano certificati PI. I certificati PI sono uno dei meccanismi di autenticazione di NSX Manager. Qualsiasi client NSX Manager può creare e utilizzare un certificato PI. Si tratta dell'approccio preferito per la comunicazione da macchina a macchina.

Un'identità principale per le piattaforme di gestione del cloud (CMP), come Openstack, utilizza i certificati X.509 caricati durante l'onboarding di un CMP come client. Per informazioni sull'assegnazione dei ruoli all'identità principale e sulla sostituzione dei certificati PI, vedere Aggiunta di un'assegnazione di ruolo o di un'identità entità

L'identità principale per federazione di NSX utilizza certificati di piattaforma X.509 per le appliance di Local Manager e Global Manager. Per informazioni dettagliate sui certificati autofirmati configurati automaticamente per federazione di NSX, vedere Certificati per NSX e federazione di NSX.