NSX-T Data Center 中有三種自我簽署憑證類別。
- 平台憑證
- NSX Services 憑證
- 主體身分識別憑證
如需每個憑證類別的詳細資料,請參閱下列章節。
平台憑證
安裝 NSX-T Data Center 後,導覽至,以檢視系統所建立的平台憑證。依預設,這些是自我簽署的 X.509 RSA 2048/SHA256 憑證,用於在 NSX-T Data Center 內進行內部通訊,以及在使用 API 或 UI 存取 NSX Manager 時進行外部驗證。
內部憑證無法檢視或編輯。
| NSX Manager 中的命名慣例 | 用途 | 可更換? | 預設有效性 |
|---|---|---|---|
| tomcat | 這是一種 API 憑證,用於透過 UI/API 與個別 NSX Manager 節點進行外部通訊。 | 是。 請參閱取代憑證 | 825 天 |
| mp-cluster | 這是一種 API 憑證,用於透過 UI/API 與使用叢集 VIP 的 NSX Manager 叢集進行外部通訊。 | 是。 請參閱取代憑證 | 825 天 |
| 其他憑證 | 專用於 NSX 聯盟的憑證。如果您未使用 NSX 聯盟,則不會使用這些憑證。 | 請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。 |
|
| 在 UI 中不可見 | 用於不同系統元件之間內部通訊的憑證。 | 否 | 10 年 |
NSX Service 憑證
NSX Service 憑證用於負載平衡器和 VPN 等服務。
NSX Service 憑證無法自我簽署。您必須匯入這些憑證。如需指示,請參閱匯入並取代憑證。
如果憑證簽署要求 (CSR) 是由 CA (本機 CA 或公用 CA,例如 Verisign) 所簽署,則它可作為 NSX Service 憑證。CSR 簽署後,您可以將該簽署的憑證匯入 NSX Manager。CSR 可在 NSX Manager 或 NSX Manager 外部來產生。請注意,NSX Manager 上所產生的 CSR 已停用服務憑證旗標。因此,這些已簽署的 CSR 無法用作服務憑證,而只能用作平台憑證。
平台和 NSX Service 憑證會個別儲存在系統內,且匯入為 NSX Service 憑證的憑證無法用於平台或反向。
主體身分識別 (PI) 憑證
PI 憑證可用於服務或平台。
雲端管理平台 (CMP) 的 PI (例如 Openstack) 會使用將 CMP 上線為用戶端時所上傳的 X.509 憑證。如需將角色指派給主體身分識別以及取代 PI 憑證的相關資訊,請參閱新增角色指派或主體身分識別
NSX 聯盟的 PI 會將 X.509 平台憑證用於本機管理程式和全域管理程式應用裝置。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。
