NSX では、次の 3 種類の自己署名証明書があります。

  • プラットフォーム証明書
  • NSX サービス証明書
  • プリンシパル ID 証明書

各カテゴリの証明書の詳細については、以降のセクションを参照してください。他のタイプの証明書が NSX に存在する可能性があります。証明書の詳細については、そのコンポーネントまたはアプリケーションのドキュメントを参照してください。

NSX および NSX フェデレーション 4.2 以降では、RPC トラフィック(APH と CCP)をサポートするために使用される多くの証明書が組み合わされ、保守性が向上しました。 NSX Manager ノードごとの証明書の数は、9 から 3 に減りました。AES 256 暗号化を使用して生成される ECDSA ベースの証明書を使用して、自己署名の内部証明書を CA 署名付き証明書に置き換えることができます。置き換え可能な証明書のリストについては、 NSX と NSX フェデレーション の証明書を参照してください。コマンドの詳細については、『 NSX API ガイド』を参照してください。
注: NSX は、すべての証明書で secp256k1 キーをサポートしますが、環境で FIPS 認定の暗号化キーのみを必要とする場合、このキーを使用することはできません。

プラットフォーム証明書

NSX のインストール後、[システム] > [証明書] の順に移動して、システムによって生成されたプラットフォーム証明書を表示します。デフォルトでは、X.509 RSA 2048/SHA256 の自己署名証明書が NSX 内の内部通信と、NSX Manager から API またはユーザー インターフェイスにアクセスするときの外部認証に使用されます。

内部証明書は表示または編集できません。

VMware Cloud Foundation™ (VCF) を使用して NSX を展開すると、デフォルトの NSX API 証明書とクラスタ証明書が、vCenter Server の VMware Certificate Authority (VMCA) によって署名された CA 証明書に置き換えられます。API 証明書とクラスタ証明書が証明書リストに表示される場合がありますが、これらは使用されません。VCF 管理ガイドの手順に従って、CA 署名付き証明書を置き換えます。置き換えを実行すると、ユーザー インターフェイスの NSX Manager ストアには、API 証明書とクラスタ証明書、VMCA CA 証明書、サードパーティ組織による署名付き証明書が含まれます。それ以降、NSX Manager は組織の署名付き証明書を使用します。

表 1. NSX のプラットフォーム証明書
NSX Manager での命名規則 目的 交換可能か。 デフォルトの有効期限
API (previously known as tomcat) これは、NSX Manager HTTPS ポート(ポート 443)に到達する API/ユーザー インターフェイス クライアントのサーバ証明書として機能します。 はい。「API による証明書の置き換え」を参照してください 825 日
Cluster (previously known as mp-cluster) この証明書は、仮想 IP アドレスが NSX Manager クラスタに使用されている場合に、クラスタ仮想 IP アドレスの HTTPS ポート(ポート 443)に到達する API/ユーザー インターフェイス クライアントのサーバ証明書として機能します。 はい。「API による証明書の置き換え」を参照してください 825 日
その他の証明書 NSX フェデレーション、クラスタ ブート マネージャ (CBM)、中央制御プレーン (CCP) など、その他の目的に特化した証明書。

NSX および NSX フェデレーション 環境用の自己署名証明書の自動構成の詳細については、「NSX と NSX フェデレーション の証明書」を参照してください。

変動

NSX サービス証明書

NSX サービス証明書は、ロード バランサ、VPN、TLS などのサービスでユーザーに提示されます。ポリシー API はサービス証明書を管理します。非サービス証明書は、プラットフォームがクラスタ管理などのタスクに使用します。管理プレーン (MP) またはトラストストア API は非サービス証明書を管理します。

ポリシー API を使用してサービス証明書を追加すると、証明書は管理プレーン/トラストストア API に送信されますが、その逆は行われません。

NSX サービス証明書に自己署名はできません。インポートが必要です。手順については、証明書のインポートを参照してください。

ルート認証局 (CA) 証明書と RSA に基づくプライベート キーを生成できます。CA 証明書は他の証明書に署名できます。

CA(ローカル CA または Verisign などのパブリック CA)の署名がある場合、証明書署名リクエスト (CSR) を NSX サービス証明書として使用できます。CSR が署名された後、その署名付き証明書を NSX Manager にインポートできます。CSR は、NSX Manager または NSX Manager の外部で生成できます。NSX Manager で生成された CSR では、[サービス証明書] フラグが無効になっています。そのため、これらの CSR はサービス証明書として使用できません。プラットフォーム証明書としてのみ使用できます。

プラットフォーム証明書と NSX サービス証明書はシステム内で別々に格納されます。NSX サービス証明書としてインポートされた証明書はプラットフォームに使用できません。その逆もできません。

プリンシパル ID (PI) 証明書

API 要求は PI 証明書を使用します。PI 証明書は、NSX Manager 認証メカニズムの 1 つです。NSX Manager クライアントは、PI 証明書を作成して使用できます。これは、マシン間通信に推奨されるアプローチです。

Openstack などのクラウド管理プラットフォーム (CMP) の PI は、CMP をクライアントとしてオンボーディングするときにアップロードされる x.509 証明書を使用します。プリンシパル ID にロールを割り当て、PI 証明書を置き換える方法については、ロールの割り当てまたはプリンシパル ID の追加を参照してください。

NSX フェデレーションの PI は、ローカル マネージャグローバル マネージャ のアプライアンスに X.509 プラットフォーム証明書を使用します。NSX フェデレーション用の自己署名証明書の自動構成の詳細については、「NSX と NSX フェデレーション の証明書」を参照してください。