NSX-T Data Center では、次の 3 種類の自己署名証明書があります。

  • プラットフォーム証明書
  • NSX サービス証明書
  • プリンシパル ID 証明書
各カテゴリの証明書の詳細については、以降のセクションを参照してください。
注: NSX-T Data Center は、すべての証明書で secp256k1 キーをサポートしますが、環境で FIPS 認定の暗号化キーのみを必要とする場合、このキーを使用することはできません。

プラットフォーム証明書

NSX-T Data Center のインストール後、[システム] > [証明書] の順に移動して、システムによって生成されたプラットフォーム証明書を表示します。デフォルトでは、X.509 RSA 2048/SHA256 の自己署名証明書が生成されます。これらの証明書は、NSX-T Data Center 内の内部通信と、API またはユーザー インターフェイスから NSX Manager がアクセスされたときの外部認証に使用されます。

内部証明書は表示または編集できません。

VMware Cloud Foundation™ (VCF) を使用して NSX-T Data Center を展開すると、デフォルトの NSX-T Data Center API 証明書とクラスタ証明書が、vCenter Server の VMware Certificate Authority (VMCA) によって署名された CA 証明書に置き換えられます。API 証明書とクラスタ証明書が証明書リストに表示される場合がありますが、これらは使用されません。VCF 管理ガイドの手順に従って、CA 署名付き証明書を置き換えます。置き換えを実行すると、ユーザー インターフェイスの NSX Manager ストアには、API 証明書とクラスタ証明書、VMCA CA 証明書、サードパーティ組織による署名付き証明書が含まれます。それ以降、NSX Manager は組織の署名付き証明書を使用します。

表 1. NSX-T Data Center のプラットフォーム証明書
NSX Manager の命名規則 目的 交換可能か。 デフォルトの有効期限
tomcat これは、ユーザー インターフェイスまたは API を介した NSX Manager ノードとの外部通信に使用される API 証明書です。 はい

証明書の置き換え を参照してください
825 日
mp-cluster これは、ユーザー インターフェイス/API でクラスタ VIP を使用した NSX Manager クラスタとの外部通信に使用される API 証明書です。 はい

証明書の置き換え を参照してください
825 日
追加の証明書 NSX フェデレーション専用の証明書。NSX フェデレーションを使用していない場合、これらの証明書は使用されません。

NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。

ユーザー インターフェイスには表示されません さまざまなシステム コンポーネント間の内部通信に使用される証明書 × 10 年

NSX サービス証明書

NSX サービス証明書は、ロード バランサ、VPN、TLS などのサービスでユーザーに提示されます。ポリシー API はサービス証明書を管理します。非サービス証明書は、プラットフォームがクラスタ管理などのタスクに使用します。管理ペイン (MP) またはトラストストア API 管理対象の非サービス証明書。

ポリシー API を使用してサービス証明書を追加すると、証明書は管理プレーン/トラストストア API に送信されますが、その逆は行われません。

NSX サービス証明書に自己署名はできません。インポートが必要です。手順については、証明書のインポートと置き換えを参照してください。

ルート認証局 (CA) 証明書と RSA に基づくプライベート キーを生成できます。CA 証明書は他の証明書に署名できます。

CA(ローカル CA または Verisign などのパブリック CA)の署名がある場合、証明書署名リクエスト (CSR) を NSX サービス証明書として使用できます。CSR が署名された後、その署名付き証明書を NSX Manager にインポートできます。CSR は、NSX Manager または NSX Manager の外部で生成できます。NSX Manager で生成された CSR では、[サービス証明書] フラグが無効になっています。そのため、これらの CSR はサービス証明書として使用できません。プラットフォーム証明書としてのみ使用できます。

プラットフォーム証明書と NSX サービス証明書はシステム内で別々に格納されます。NSX サービス証明書としてインポートされた証明書はプラットフォームに使用できません。その逆もできません。

プリンシパル ID (PI) 証明書

PI 証明書は、サービスまたはプラットフォームで使用できます。

Openstack などのクラウド管理プラットフォーム (CMP) の PI は、CMP をクライアントとしてオンボーディングするときにアップロードされる x.509 証明書を使用します。プリンシパル ID にロールを割り当て、PI 証明書を置き換える方法については、ロールの割り当てまたはプリンシパル ID の追加を参照してください。

NSX フェデレーションの PI は、ローカル マネージャとグローバル マネージャのアプライアンスに X.509 プラットフォーム証明書を使用します。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、NSX フェデレーション の証明書を参照してください。