NSX-T Data Center 中有三種自我簽署憑證類別。

  • 平台憑證
  • NSX Services 憑證
  • 主體身分識別憑證

如需每個憑證類別的詳細資料,請參閱下列章節。

平台憑證

安裝 NSX-T Data Center 後,導覽至系統 > 憑證,以檢視系統所建立的平台憑證。依預設,這些是自我簽署的 X.509 RSA 2048/SHA256 憑證,用於在 NSX-T Data Center 內進行內部通訊,以及在使用 API 或 UI 存取 NSX Manager 時進行外部驗證。

內部憑證無法檢視或編輯。

表 1. NSX-T Data Center 中的平台憑證
NSX Manager 中的命名慣例 用途 可更換? 預設有效性
tomcat 這是一種 API 憑證,用於透過 UI/API 與個別 NSX Manager 節點進行外部通訊。 是。

請參閱取代憑證
825 天
mp-cluster 這是一種 API 憑證,用於透過 UI/API 與使用叢集 VIP 的 NSX Manager 叢集進行外部通訊。 是。

請參閱取代憑證
825 天
其他憑證 專用於 NSX 聯盟的憑證。如果您未使用 NSX 聯盟,則不會使用這些憑證。

請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

在 UI 中不可見 用於不同系統元件之間內部通訊的憑證。 10 年

NSX Service 憑證

NSX Service 憑證用於負載平衡器和 VPN 等服務。

NSX Service 憑證無法自我簽署。您必須匯入這些憑證。如需指示,請參閱匯入並取代憑證

如果憑證簽署要求 (CSR) 是由 CA (本機 CA 或公用 CA,例如 Verisign) 所簽署,則它可作為 NSX Service 憑證。CSR 簽署後,您可以將該簽署的憑證匯入 NSX Manager。CSR 可在 NSX ManagerNSX Manager 外部來產生。請注意,NSX Manager 上所產生的 CSR 已停用服務憑證旗標。因此,這些已簽署的 CSR 無法用作服務憑證,而只能用作平台憑證。

平台和 NSX Service 憑證會個別儲存在系統內,且匯入為 NSX Service 憑證的憑證無法用於平台或反向。

主體身分識別 (PI) 憑證

PI 憑證可用於服務或平台。

雲端管理平台 (CMP) 的 PI (例如 Openstack) 會使用將 CMP 上線為用戶端時所上傳的 X.509 憑證。如需將角色指派給主體身分識別以及取代 PI 憑證的相關資訊,請參閱新增角色指派或主體身分識別

NSX 聯盟的 PI 會將 X.509 平台憑證用於本機管理程式和全域管理程式應用裝置。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。