NSX-T Data Center에는 자체 서명된 인증서의 세 가지 범주가 있습니다.
- 플랫폼 인증서
- NSX Services 인증서
- 주체 ID 인증서
각 인증서 범주에 대한 자세한 내용은 다음 섹션을 참조하십시오.
플랫폼 인증서
NSX-T Data Center를 설치한 후 로 이동하여 시스템에서 생성된 플랫폼 인증서를 확인합니다. 기본적으로 이러한 인증서는 NSX-T Data Center 내의 내부 통신과 API 또는 UI를 사용하여 NSX Manager에 액세스할 때의 외부 인증을 위한 자체 서명된 X.509 RSA 2048/SHA256 인증서입니다.
내부 인증서는 보거나 편집할 수 없습니다.
NSX Manager의 이름 지정 규칙 | 용도 | 교체 가능 여부 | 기본 유효성 |
---|---|---|---|
tomcat | UI/API를 통해 개별 NSX Manager 노드와의 외부 통신에 사용되는 API 인증서입니다. | 예. 자세한 내용은 인증서 바꾸기 | 825일 |
mp-cluster | UI/API를 통해 클러스터 VIP를 사용하여 NSX Manager 클러스터와의 외부 통신에 사용되는 API 인증서입니다. | 예. 자세한 내용은 인증서 바꾸기 | 825일 |
추가 인증서 | NSX 페더레이션 전용 인증서. NSX 페더레이션을 사용하지 않는 경우 이러한 인증서가 사용되지 않습니다. | NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서를 참조하십시오. |
|
UI에 표시되지 않음 | 여러 다른 시스템 구성 요소 간의 내부 통신에 사용되는 인증서입니다. | 아니요 | 10년 |
NSX Services 인증서
NSX Service 인증서는 로드 밸런서 및 VPN과 같은 서비스에 사용됩니다.
NSX Service 인증서는 자체 서명할 수 없습니다. 사용자가 가져와야 합니다. 지침에 대해서는 인증서 가져오기 및 바꾸기를 참조하십시오.
CSR(인증서 서명 요청)은 CA(로컬 CA 또는 Verisign과 같은 공용 CA)로 서명된 경우 NSX Service 인증서로 사용할 수 있습니다. CSR이 서명된 후 서명된 인증서를 NSX Manager로 가져올 수 있습니다. CSR은 NSX Manager에서 또는 NSX Manager 외부에서 생성될 수 있습니다. 서비스 인증서 플래그가 NSX Manager에서 생성된 CSR에 대해 사용하지 않도록 설정되어 있는지 확인하십시오. 따라서 이러한 서명된 CSR은 서비스 인증서로 사용할 수 없으며 플랫폼 인증서로만 사용할 수 있습니다.
플랫폼 및 NSX Service 인증서는 시스템 내에 별도로 저장되며 NSX Service 인증서로 가져온 인증서를 플랫폼에 사용할 수 없고 그 반대의 경우도 마찬가지입니다.
PI(주체 ID) 인증서
PI 인증서는 서비스 또는 플랫폼용일 수 있습니다.
Openstack과 같은 CMP(클라우드 관리 플랫폼)용 PI는 CMP를 클라이언트로 온보딩할 때 업로드되는 X.509 인증서를 사용합니다. 주체 ID에 역할을 할당하고 PI 인증서를 바꾸는 방법에 대한 자세한 내용은 역할 할당 또는 주체 ID 추가를 참조하십시오.
NSX 페더레이션용 PI는 로컬 관리자 및 글로벌 관리자 장치에 대한 X.509 플랫폼 인증서를 사용합니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서를 참조하십시오.