NSX-T Data Center では、次の 3 種類の自己署名証明書があります。

  • プラットフォーム証明書
  • NSX サービス証明書
  • プリンシパル ID 証明書

各カテゴリの証明書の詳細については、以降のセクションを参照してください。

プラットフォーム証明書

NSX-T Data Center のインストール後、[システム] > [証明書] の順に移動して、システムによって生成されたプラットフォーム証明書を表示します。デフォルトでは、X.509 RSA 2048/SHA256 の自己署名証明書が生成されます。これらの証明書は、NSX-T Data Center 内の内部通信と、API または UI から NSX Manager がアクセスされたときの外部認証に使用されます。

内部証明書は表示または編集できません。

表 1. NSX-T Data Center のプラットフォーム証明書
NSX Manager の命名規則 目的 交換可能か。 デフォルトの有効期限
tomcat これは、UI または API を介した NSX Manager ノードとの外部通信に使用される API 証明書です。 はい

詳細については、証明書の置き換え
825 日
mp-cluster これは、UI/API でクラスタ VIP を使用した NSX Manager クラスタとの外部通信に使用される API 証明書です。
LocalManager これは、フェデレーション専用のプラットフォーム プリンシパル ID 証明書です。フェデレーションを使用していない場合、この証明書は使用されません。

フェデレーション用の自己署名証明書の自動構成の詳細については、フェデレーションに必要な証明書を参照してください。

UI には表示されません さまざまなシステム コンポーネント間の内部通信に使用される証明書 × 10 年

NSX サービス証明書

NSX サービス証明書は、ロード バランサや VPN などのサービスで使用されます。

NSX サービス証明書に自己署名はできません。インポートが必要です。手順については、証明書のインポートと置き換えを参照してください。

プラットフォーム証明書と NSX サービス証明書はシステム内で別々に格納されます。NSX サービス証明書としてインポートされた証明書はプラットフォームに使用できません。その逆もできません。

プリンシパル ID (PI) 証明書

PI 証明書は、サービスまたはプラットフォームで使用できます。

Openstack などのクラウド管理プラットフォーム (CMP) の PI は、CMP をクライアントとしてオンボーディングするときにアップロードされる x.509 証明書を使用します。プリンシパル ID にロールを割り当て、PI 証明書を置き換える方法については、ロールの割り当てまたはプリンシパル ID の追加を参照してください。

フェデレーションの PI は、ローカル マネージャとグローバル マネージャのアプライアンスに X.509 プラットフォーム証明書を使用します。フェデレーション用の自己署名証明書の自動構成の詳細については、フェデレーションに必要な証明書を参照してください。