NSX-T Data Center では、次の 3 種類の自己署名証明書があります。

  • プラットフォーム証明書
  • NSX サービス証明書
  • プリンシパル ID 証明書

各カテゴリの証明書の詳細については、以降のセクションを参照してください。

プラットフォーム証明書

NSX-T Data Center のインストール後、[システム] > [証明書] の順に移動して、システムによって生成されたプラットフォーム証明書を表示します。デフォルトでは、X.509 RSA 2048/SHA256 の自己署名証明書が生成されます。これらの証明書は、NSX-T Data Center 内の内部通信と、API または UI から NSX Manager がアクセスされたときの外部認証に使用されます。

内部証明書は表示または編集できません。

表 1. NSX-T Data Center のプラットフォーム証明書
NSX Manager の命名規則 目的 交換可能か。 デフォルトの有効期限
tomcat これは、ユーザー インターフェイスまたは API を介した NSX Manager ノードとの外部通信に使用される API 証明書です。 はい

詳細については、証明書の置き換え
825 日
mp-cluster これは、UI/API でクラスタ VIP を使用した NSX Manager クラスタとの外部通信に使用される API 証明書です。 はい

詳細については、証明書の置き換え
825 日
追加の証明書 NSX フェデレーション専用の証明書。NSX フェデレーションを使用していない場合、これらの証明書は使用されません。

NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

ユーザー インターフェイスには表示されません さまざまなシステム コンポーネント間の内部通信に使用される証明書 × 10 年

NSX サービス証明書

NSX サービス証明書は、ロード バランサや VPN などのサービスで使用されます。

NSX サービス証明書に自己署名はできません。インポートが必要です。手順については、証明書のインポートと置き換えを参照してください。

CA(ローカル CA または Verisign などのパブリック CA)の署名がある場合、証明書署名リクエスト (CSR) を NSX サービス証明書として使用できます。CSR が署名されると、その署名付き証明書を NSX Manager にインポートできます。CSR は、NSX Manager または NSX Manager の外部で生成できます。NSX Manager で生成された CSR では、[サービス証明書] フラグが無効になっています。そのため、これらの CSR はサービス証明書として使用できません。プラットフォーム証明書としてのみ使用できます。

プラットフォーム証明書と NSX サービス証明書はシステム内で別々に格納されます。NSX サービス証明書としてインポートされた証明書はプラットフォームに使用できません。その逆もできません。

プリンシパル ID (PI) 証明書

PI 証明書は、サービスまたはプラットフォームで使用できます。

Openstack などのクラウド管理プラットフォーム (CMP) の PI は、CMP をクライアントとしてオンボーディングするときにアップロードされる x.509 証明書を使用します。プリンシパル ID にロールを割り当て、PI 証明書を置き換える方法については、ロールの割り当てまたはプリンシパル ID の追加を参照してください。

NSX フェデレーションの PI は、ローカル マネージャとグローバル マネージャのアプライアンスに X.509 プラットフォーム証明書を使用します。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

注: NSX-T Data Center は、プリンシパル ID 証明書で secp256k1 キーをサポートしますが、環境で FIPS 認定の暗号化キーのみを必要とする場合、このキーを使用することはできません。