NSX-T Data Center では、次の 3 種類の自己署名証明書があります。
- プラットフォーム証明書
- NSX サービス証明書
- プリンシパル ID 証明書
各カテゴリの証明書の詳細については、以降のセクションを参照してください。
プラットフォーム証明書
NSX-T Data Center のインストール後、 の順に移動して、システムによって生成されたプラットフォーム証明書を表示します。デフォルトでは、X.509 RSA 2048/SHA256 の自己署名証明書が生成されます。これらの証明書は、NSX-T Data Center 内の内部通信と、API またはユーザー インターフェイスから NSX Manager がアクセスされたときの外部認証に使用されます。
内部証明書は表示または編集できません。
| NSX Manager の命名規則 | 目的 | 交換可能か。 | デフォルトの有効期限 |
|---|---|---|---|
| tomcat | これは、ユーザー インターフェイスまたは API を介した NSX Manager ノードとの外部通信に使用される API 証明書です。 | はい 証明書の置き換え を参照してください | 825 日 |
| mp-cluster | これは、ユーザー インターフェイス/API でクラスタ VIP を使用した NSX Manager クラスタとの外部通信に使用される API 証明書です。 | はい 証明書の置き換え を参照してください | 825 日 |
| 追加の証明書 | NSX フェデレーション専用の証明書。NSX フェデレーションを使用していない場合、これらの証明書は使用されません。 | NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。 |
|
| ユーザー インターフェイスには表示されません | さまざまなシステム コンポーネント間の内部通信に使用される証明書 | × | 10 年 |
NSX サービス証明書
NSX サービス証明書は、ロード バランサや VPN などのサービスで使用されます。
NSX サービス証明書に自己署名はできません。インポートが必要です。手順については、証明書のインポートと置き換えを参照してください。
CA(ローカル CA または Verisign などのパブリック CA)の署名がある場合、証明書署名リクエスト (CSR) を NSX サービス証明書として使用できます。CSR が署名された後、その署名付き証明書を NSX Manager にインポートできます。CSR は、NSX Manager または NSX Manager の外部で生成できます。NSX Manager で生成された CSR では、[サービス証明書] フラグが無効になっています。そのため、これらの CSR はサービス証明書として使用できません。プラットフォーム証明書としてのみ使用できます。
プラットフォーム証明書と NSX サービス証明書はシステム内で別々に格納されます。NSX サービス証明書としてインポートされた証明書はプラットフォームに使用できません。その逆もできません。
プリンシパル ID (PI) 証明書
PI 証明書は、サービスまたはプラットフォームで使用できます。
Openstack などのクラウド管理プラットフォーム (CMP) の PI は、CMP をクライアントとしてオンボーディングするときにアップロードされる x.509 証明書を使用します。プリンシパル ID にロールを割り当て、PI 証明書を置き換える方法については、ロールの割り当てまたはプリンシパル ID の追加を参照してください。
NSX フェデレーションの PI は、ローカル マネージャとグローバル マネージャのアプライアンスに X.509 プラットフォーム証明書を使用します。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。
