NSX에는 자체 서명된 인증서의 세 가지 범주가 있습니다.
- 플랫폼 인증서
- NSX 서비스 인증서
- 주체 ID 인증서
각 인증서 범주에 대한 자세한 내용은 다음 섹션을 참조하십시오. 다른 유형의 인증서가 NSX에 있을 수 있습니다. 해당 인증서에 대한 자세한 내용은 해당 구성 요소 또는 애플리케이션 설명서를 참조하십시오.
플랫폼 인증서
NSX를 설치한 후 로 이동하여 시스템에서 생성된 플랫폼 인증서를 확인합니다. 기본적으로 이러한 자체 서명된 X.509 RSA 2048/SHA256 인증서는 NSX 내의 내부 통신과 API 또는 UI를 사용하여 NSX Manager에 액세스할 때의 외부 인증에 사용됩니다.
내부 인증서는 보거나 편집할 수 없습니다.
VCF(VMware Cloud Foundation™)가 NSX를 배포하는 데 사용된 경우 기본 NSX API 및 클러스터 인증서가 vCenter에서 VMCA(VMware 인증 기관)가 서명한 CA 인증서로 대체됩니다. API 및 클러스터 인증서가 인증서 목록에 계속 표시될 수 있지만 사용되지는 않습니다. VCF 관리 가이드의 절차를 사용하여 CA 서명된 인증서를 교체합니다. 교체를 수행한 후 UI의 NSX Manager 저장소에는 API 및 클러스터 인증서, VMCA CA 인증서 및 타사 조직의 서명된 인증서가 포함되어 있습니다. 그런 다음, NSX Manager는 조직의 서명된 인증서를 사용합니다.
NSX Manager의 명명 규칙 | 용도 | 교체 가능 여부 | 기본 유효성 |
---|---|---|---|
API (previously known as tomcat) | 이것은 NSX Manager HTTPS 포트(포트 443)에 도달하는 API/UI 클라이언트의 서버 인증서 역할을 합니다. | 예. 자세한 내용은 인증서 바꾸기 항목을 참조하십시오. | 825일 |
Cluster (previously known as mp-cluster) | 이 인증서는 VIP가 NSX Manager 클러스터에 사용될 때 클러스터 VIP(포트 443)의 HTTPS 포트에 도달하는 API/UI 클라이언트의 서버 인증서 역할을 합니다. | 예. 자세한 내용은 인증서 바꾸기 항목을 참조하십시오. | 825일 |
기타 인증서 | NSX 페더레이션, CBM(클러스터 부팅 관리자) 및 CCP(중앙 제어부)를 비롯한 기타 용도의 인증서. | NSX 및 NSX 페더레이션 환경을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 및 NSX 페더레이션에 대한 인증서 항목을 참조하십시오. |
달라짐 |
NSX Services 인증서
NSX 서비스 인증서는 로드 밸런서, VPN 및 TLS 검사와 같은 서비스에서 사용자에게 표시됩니다. 정책 API는 서비스 인증서를 관리합니다. 비서비스 인증서는 클러스터 관리와 같은 작업을 위해 플랫폼에서 사용됩니다. MP(관리부) 또는 신뢰 저장소 API 관리형 비서비스 인증서
정책 API를 사용하여 서비스 인증서를 추가할 때 인증서가 MP/신뢰 저장소 API로 전송되지만 반대 관계는 가능하지 않습니다.
NSX Service 인증서는 자체 서명할 수 없습니다. 사용자가 가져와야 합니다. 지침에 대해서는 인증서 가져오기 및 바꾸기 항목을 참조하십시오.
루트 CA(인증 기관) 인증서 및 RSA를 기준으로 하는 개인 키를 생성할 수 있습니다. CA 인증서는 다른 인증서에 서명할 수 있습니다.
CSR(인증서 서명 요청)이 CA(로컬 CA 또는 Verisign과 같은 공용 CA)로 서명된 경우 NSX 서비스 인증서로 사용할 수 있습니다. CSR이 서명된 후 서명된 인증서를 NSX Manager로 가져올 수 있습니다. CSR은 NSX Manager에서 또는 NSX Manager 외부에서 생성될 수 있습니다. 서비스 인증서 플래그가 NSX Manager에서 생성된 CSR에 대해 비활성화됩니다. 따라서 서명된 CSR은 서비스 인증서로 사용할 수 없으며 플랫폼 인증서로만 사용할 수 있습니다.
플랫폼 및 NSX 서비스 인증서는 시스템 내에 별도로 저장되며 NSX 서비스 인증서로 가져온 인증서를 플랫폼에 사용할 수 없고 그 반대의 경우도 마찬가지입니다.
PI(주체 ID) 인증서
API 요청은 PI 인증서를 사용합니다. PI 인증서는 NSX Manager 인증 메커니즘 중 하나입니다. NSX Manager 클라이언트는 PI 인증서를 생성하고 사용할 수 있습니다. 시스템 간 통신을 위한 기본 접근 방식입니다.
Openstack과 같은 CMP(클라우드 관리 플랫폼)용 PI는 CMP를 클라이언트로 온보딩할 때 업로드되는 X.509 인증서를 사용합니다. 주체 ID에 역할을 할당하고 PI 인증서를 바꾸는 방법에 대한 자세한 내용은 역할 할당 또는 주체 ID 추가 항목을 참조하십시오.
NSX 페더레이션용 PI는 로컬 관리자 및 글로벌 관리자 장치에 대한 X.509 플랫폼 인증서를 사용합니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 및 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.