NSX 中有三種自我簽署憑證類別。

  • 平台憑證
  • NSX Services 憑證
  • 主體身分識別憑證
如需每個憑證類別的詳細資料,請參閱下列章節。
備註: 雖然 NSX 支援將 secp256k1 金鑰用於所有憑證,但如果您的環境只需要 FIPS 核准的密碼編譯金鑰,則請勿使用此 secp256k1 金鑰。

平台憑證

安裝 NSX 後,導覽至系統 > 憑證,以檢視系統所建立的平台憑證。依預設,這些是自我簽署的 X.509 RSA 2048/SHA256 憑證,用於在 NSX 內進行內部通訊,以及在使用 API 或 UI 存取 NSX Manager 時進行外部驗證。

內部憑證無法檢視或編輯。

如果使用了 VMware Cloud Foundation™ (VCF) 來部署 NSX,則會從 vCenter,將預設 NSX API 和叢集憑證取代為 VMware Certificate Authority (VMCA) 所簽署的 CA 憑證。API 和叢集憑證可能仍會顯示在憑證清單中,但不會使用這些憑證。可使用《VCF 管理指南》中提供的程序,來取代 CA 簽署憑證。在取代之後,UI 中的 NSX Manager 存放區會包含 API 和叢集憑證、VMCA CA 憑證以及由第三方組織簽署的憑證。此後,NSX Manager 將使用您的組織中的簽署憑證。

表 1. NSX 中的平台憑證
NSX Manager 中的命名慣例 用途 可更換? 預設有效性
tomcat 這是一種 API 憑證,用於透過 UI/API 與個別 NSX Manager 節點進行外部通訊。 是。

請參閱更換憑證
825 天
mp-cluster 這是一種 API 憑證,用於透過 UI/API 與使用叢集 VIP 的 NSX Manager 叢集進行外部通訊。 是。

請參閱更換憑證
825 天
其他憑證 專用於 NSX 聯盟的憑證。如果您未使用 NSX 聯盟,則不會使用這些憑證。

請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。

在 UI 中不可見 用於不同系統元件之間內部通訊的憑證。 10 年

NSX Service 憑證

NSX 服務憑證面向使用者,適用於負載平衡器、VPN 和 TLS 檢查等服務。原則 API 管理服務憑證。平台使用非服務憑證來執行叢集管理等工作。管理窗格 (MP) 或信任存放區 API 管理的非服務憑證。

使用原則 API 新增服務憑證時,憑證會傳送至 MP/信任存放區 API,但反過來則不適用。

NSX 服務憑證無法自我簽署。您必須匯入這些憑證。如需指示,請參閱匯入並取代憑證

您可以根據 RSA 產生 root 憑證授權機構 (CA) 憑證和私密金鑰。CA 憑證能夠簽署其他憑證。

如果憑證簽署要求 (CSR) 是由 CA 簽署 (本機 CA 或 Verisign 之類的公用 CA),則可以作為 NSX 服務憑證。CSR 完成簽署後,您便可將該已簽署的憑證匯入至 NSX Manager。CSR 可以在 NSX Manager 上或 NSX Manager 的外部產生。請注意,針對 NSX Manager 上產生的 CSR 會停用服務憑證旗標。因此,這些已簽署的 CSR 無法用作服務憑證,僅能作為平台憑證。

平台和 NSX 服務憑證會個別儲存在系統內,且匯入為 NSX 服務憑證的憑證無法用於平台,反之亦然。

主體身分識別 (PI) 憑證

PI 憑證可用於服務或平台。

雲端管理平台 (CMP) 的 PI (例如 Openstack) 會使用將 CMP 上線為用戶端時所上傳的 X.509 憑證。如需將角色指派給主體身分識別以及取代 PI 憑證的相關資訊,請參閱新增角色指派或主體身分識別

NSX 聯盟的 PI 會將 X.509 平台憑證用於本機管理程式和全域管理程式應用裝置。請參閱NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。