NSX에는 자체 서명된 인증서의 세 가지 범주가 있습니다.

  • 플랫폼 인증서
  • NSX 서비스 인증서
  • 주체 ID 인증서

각 인증서 범주에 대한 자세한 내용은 다음 섹션을 참조하십시오. 다른 유형의 인증서가 NSX에 있을 수 있습니다. 해당 인증서에 대한 자세한 내용은 해당 구성 요소 또는 애플리케이션 설명서를 참조하십시오.

NSXNSX 페더레이션 4.2부터 RPC 트래픽을 지원하는 데 사용되는 많은 인증서(APH 및 CCP)가 결합되어 서비스 가능성이 향상되었습니다. 이제 각 NSX Manager 노드에 대해 9개가 아닌 3개의 인증서만 있습니다. AES 256 암호화를 사용하여 생성된 ECDSA 기반 인증서를 사용하여 자체 서명된 내부 인증서를 CA 서명된 인증서로 교체할 수 있습니다. 교체 가능한 인증서 목록은 NSX 및 NSX 페더레이션에 대한 인증서 항목을 참조하십시오. 명령 세부 정보에 대해서는 " NSX API 가이드" 항목을 참조하십시오.
참고: NSX에서는 모든 인증서에 대해 secp256k1 키를 지원하기는 하지만 작업 환경에 FIPS 승인 암호화 키만 필요한 경우 이 키를 사용하지 않습니다.

플랫폼 인증서

NSX를 설치한 후 시스템 > 인증서로 이동하여 시스템에서 생성된 플랫폼 인증서를 확인합니다. 기본적으로 이러한 자체 서명된 X.509 RSA 2048/SHA256 인증서는 NSX 내의 내부 통신과 API 또는 UI를 사용하여 NSX Manager에 액세스할 때의 외부 인증에 사용됩니다.

내부 인증서는 보거나 편집할 수 없습니다.

VCF(VMware Cloud Foundation™)가 NSX를 배포하는 데 사용된 경우 기본 NSX API 및 클러스터 인증서가 vCenter에서 VMCA(VMware 인증 기관)가 서명한 CA 인증서로 대체됩니다. API 및 클러스터 인증서가 인증서 목록에 계속 표시될 수 있지만 사용되지는 않습니다. VCF 관리 가이드의 절차를 사용하여 CA 서명된 인증서를 교체합니다. 교체를 수행한 후 UI의 NSX Manager 저장소에는 API 및 클러스터 인증서, VMCA CA 인증서 및 타사 조직의 서명된 인증서가 포함되어 있습니다. 그런 다음, NSX Manager는 조직의 서명된 인증서를 사용합니다.

표 1. NSX의 플랫폼 인증서
NSX Manager의 명명 규칙 용도 교체 가능 여부 기본 유효성
API (previously known as tomcat) 이것은 NSX Manager HTTPS 포트(포트 443)에 도달하는 API/UI 클라이언트의 서버 인증서 역할을 합니다. 예. 자세한 내용은 API를 통해 인증서 교체 항목을 참조하십시오. 825일
Cluster (previously known as mp-cluster) 이 인증서는 VIP가 NSX Manager 클러스터에 사용될 때 클러스터 VIP(포트 443)의 HTTPS 포트에 도달하는 API/UI 클라이언트의 서버 인증서 역할을 합니다. 예. 자세한 내용은 API를 통해 인증서 교체 항목을 참조하십시오. 825일
기타 인증서 NSX 페더레이션, CBM(클러스터 부팅 관리자) 및 CCP(중앙 제어부)를 비롯한 기타 용도의 인증서.

NSXNSX 페더레이션 환경을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 및 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.

달라짐

NSX Services 인증서

NSX 서비스 인증서는 로드 밸런서, VPN 및 TLS 검사와 같은 서비스에서 사용자에게 표시됩니다. 정책 API는 서비스 인증서를 관리합니다. 비서비스 인증서는 클러스터 관리와 같은 작업을 위해 플랫폼에서 사용됩니다. MP(관리부) 또는 신뢰 저장소 API는 비서비스 인증서를 관리합니다.

정책 API를 사용하여 서비스 인증서를 추가할 때 인증서가 MP/신뢰 저장소 API로 전송되지만 반대 관계는 가능하지 않습니다.

NSX Service 인증서는 자체 서명할 수 없습니다. 사용자가 가져와야 합니다. 지침에 대해서는 인증서 가져오기 항목을 참조하십시오.

루트 CA(인증 기관) 인증서 및 RSA를 기준으로 하는 개인 키를 생성할 수 있습니다. CA 인증서는 다른 인증서에 서명할 수 있습니다.

CSR(인증서 서명 요청)이 CA(로컬 CA 또는 Verisign과 같은 공용 CA)로 서명된 경우 NSX 서비스 인증서로 사용할 수 있습니다. CSR이 서명된 후 서명된 인증서를 NSX Manager로 가져올 수 있습니다. CSR은 NSX Manager에서 또는 NSX Manager 외부에서 생성될 수 있습니다. 서비스 인증서 플래그가 NSX Manager에서 생성된 CSR에 대해 비활성화됩니다. 따라서 서명된 CSR은 서비스 인증서로 사용할 수 없으며 플랫폼 인증서로만 사용할 수 있습니다.

플랫폼 및 NSX 서비스 인증서는 시스템 내에 별도로 저장되며 NSX 서비스 인증서로 가져온 인증서를 플랫폼에 사용할 수 없고 그 반대의 경우도 마찬가지입니다.

PI(주체 ID) 인증서

API 요청은 PI 인증서를 사용합니다. PI 인증서는 NSX Manager 인증 메커니즘 중 하나입니다. NSX Manager 클라이언트는 PI 인증서를 생성하고 사용할 수 있습니다. 시스템 간 통신을 위한 기본 접근 방식입니다.

Openstack과 같은 CMP(클라우드 관리 플랫폼)용 PI는 CMP를 클라이언트로 온보딩할 때 업로드되는 X.509 인증서를 사용합니다. 주체 ID에 역할을 할당하고 PI 인증서를 바꾸는 방법에 대한 자세한 내용은 역할 할당 또는 주체 ID 추가 항목을 참조하십시오.

NSX 페더레이션용 PI는 로컬 관리자글로벌 관리자 장치에 대한 X.509 플랫폼 인증서를 사용합니다. NSX 페더레이션을 위해 자동으로 구성된 자체 서명된 인증서에 대한 자세한 내용은 NSX 및 NSX 페더레이션에 대한 인증서 항목을 참조하십시오.