NSX에는 자체 서명된 인증서의 세 가지 범주가 있습니다.

  • 플랫폼 인증서
  • NSX Services 인증서
  • 주체 ID 인증서
각 인증서 범주에 대한 자세한 내용은 다음 섹션을 참조하십시오.
참고: NSX에서는 모든 인증서에 대해 secp256k1 키를 지원하기는 하지만 작업 환경에 FIPS 승인 암호화 키만 필요한 경우 이 키를 사용하지 않습니다.

플랫폼 인증서

NSX를 설치한 후 시스템 > 인증서로 이동하여 시스템에서 생성된 플랫폼 인증서를 확인합니다. 기본적으로 이러한 인증서는 NSX 내의 내부 통신과 API 또는 UI를 사용하여 NSX Manager에 액세스할 때의 외부 인증을 위한 자체 서명된 X.509 RSA 2048/SHA256 인증서입니다.

내부 인증서는 보거나 편집할 수 없습니다.

VCF(VMware Cloud Foundation™)가 NSX를 배포하는 데 사용된 경우 기본 NSX API 및 클러스터 인증서가 vCenter에서 VMCA(VMware 인증 기관)가 서명한 CA 인증서로 대체됩니다. API 및 클러스터 인증서가 인증서 목록에 계속 표시될 수 있지만 사용되지는 않습니다. VCF 관리 가이드의 절차를 사용하여 CA 서명된 인증서를 교체합니다. 교체를 수행한 후 UI의 NSX Manager 저장소에는 API 및 클러스터 인증서, VMCA CA 인증서 및 타사 조직의 서명된 인증서가 포함되어 있습니다. 그런 다음, NSX Manager는 조직의 서명된 인증서를 사용합니다.

표 1. NSX의 플랫폼 인증서
NSX Manager의 이름 지정 규칙 용도 교체 가능 여부 기본 유효성
tomcat UI/API를 통해 개별 NSX Manager 노드와의 외부 통신에 사용되는 API 인증서입니다. 예.

자세한 내용은 인증서 바꾸기
825일
mp-cluster UI/API를 통해 클러스터 VIP를 사용하여 NSX Manager 클러스터와의 외부 통신에 사용되는 API 인증서입니다. 예.

자세한 내용은 인증서 바꾸기
825일
추가 인증서 NSX 페더레이션 전용 인증서. NSX 페더레이션을 사용하지 않는 경우 이러한 인증서가 사용되지 않습니다.

NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.

UI에 표시되지 않음 여러 다른 시스템 구성 요소 간의 내부 통신에 사용되는 인증서입니다. 아니요 10년

NSX Services 인증서

NSX 서비스 인증서는 로드 밸런서, VPN 및 TLS 검사와 같은 서비스에서 사용자에게 표시됩니다. 정책 API는 서비스 인증서를 관리합니다. 비서비스 인증서는 클러스터 관리와 같은 작업을 위해 플랫폼에서 사용됩니다. MP(관리 창) 또는 신뢰 저장소 API 관리형 비서비스 인증서

정책 API를 사용하여 서비스 인증서를 추가할 때 인증서가 MP/신뢰 저장소 API로 전송되지만 그 반대 방향으로는 전송되지 않습니다.

NSX Service 인증서는 자체 서명할 수 없습니다. 사용자가 가져와야 합니다. 지침에 대해서는 인증서 가져오기 및 바꾸기 항목을 참조하십시오.

루트 CA(인증 기관) 인증서 및 RSA를 기준으로 하는 개인 키를 생성할 수 있습니다. CA 인증서는 다른 인증서에 서명할 수 있습니다.

CSR(인증서 서명 요청)은 CA(로컬 CA 또는 Verisign과 같은 공용 CA)로 서명된 경우 NSX Service 인증서로 사용할 수 있습니다. CSR이 서명된 후 서명된 인증서를 NSX Manager로 가져올 수 있습니다. CSR은 NSX Manager에서 또는 NSX Manager 외부에서 생성될 수 있습니다. 서비스 인증서 플래그가 NSX Manager에서 생성된 CSR에 대해 사용하지 않도록 설정되어 있는지 확인하십시오. 따라서 이러한 서명된 CSR은 서비스 인증서로 사용할 수 없으며 플랫폼 인증서로만 사용할 수 있습니다.

플랫폼 및 NSX Service 인증서는 시스템 내에 별도로 저장되며 NSX Service 인증서로 가져온 인증서를 플랫폼에 사용할 수 없고 그 반대의 경우도 마찬가지입니다.

PI(주체 ID) 인증서

PI 인증서는 서비스 또는 플랫폼용일 수 있습니다.

Openstack과 같은 CMP(클라우드 관리 플랫폼)용 PI는 CMP를 클라이언트로 온보딩할 때 업로드되는 X.509 인증서를 사용합니다. 주체 ID에 역할을 할당하고 PI 인증서를 바꾸는 방법에 대한 자세한 내용은 역할 할당 또는 주체 ID 추가 항목을 참조하십시오.

NSX 페더레이션용 PI는 로컬 관리자 및 글로벌 관리자 장치에 대한 X.509 플랫폼 인증서를 사용합니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.