NSX 中有三種自我簽署憑證類別。

  • 平台憑證
  • NSX 服務憑證
  • 主體身分識別憑證

如需每個憑證類別的詳細資料,請參閱下列章節。NSX 中可能存在其他類型的憑證。如需元件或應用程式憑證的詳細資料,請參閱其相關的說明文件。

NSXNSX 聯盟 4.1 開始,您可以使用以 AES 256 加密產生並以 ECDSA 為基礎的憑證,將自我簽署內部憑證更換為 CA 簽署憑證。如需可更換的憑證清單,請參閱 NSX 和 NSX 聯盟的憑證。如需命令的詳細資料,請參閱 《NSX API 指南》
備註: 雖然 NSX 支援將 secp256k1 金鑰用於所有憑證,但如果您的環境只需要 FIPS 核准的密碼編譯金鑰,則請勿使用此 secp256k1 金鑰。

平台憑證

在您安裝 NSX 後,請導覽至系統 > 憑證,以檢視系統所建立的平台憑證。依預設,這些自我簽署的 X.509 RSA 2048/SHA256 憑證用於在 NSX 內進行內部通訊,以及在使用 NSX Manager 來存取 API 或 UI 時進行外部驗證。

內部憑證無法檢視或編輯。

如果使用了 VMware Cloud Foundation™ (VCF) 來部署 NSX,則會從 vCenter,將預設 NSX API 和叢集憑證更換為 VMware Certificate Authority (VMCA) 所簽署的 CA 憑證。API 和叢集憑證可能仍會顯示在憑證清單中,但不會使用這些憑證。可使用《VCF 管理指南》中提供的程序,來更換 CA 簽署憑證。在更換之後,UI 中的 NSX Manager 存放區會包含 API 和叢集憑證、VMCA CA 憑證以及由第三方組織簽署的憑證。此後,NSX Manager 將使用您的組織中的簽署憑證。

表 1. NSX 中的平台憑證
NSX Manager 中的命名慣例 用途 可更換? 預設有效性
API (previously known as tomcat) 此憑證作為伺服器憑證,供 API/UI 用戶端來連線至 NSX Manager HTTPS 連接埠 (連接埠 443)。 是。請參閱更換憑證 825 天
Cluster (previously known as mp-cluster) 當 VIP 用於 NSX Manager 叢集時,此憑證會作為伺服器憑證,供 API/UI 用戶端來連線到叢集 VIP 的 HTTPS 連接埠 (連接埠 443)。 是。請參閱更換憑證 825 天
其他憑證 這些憑證專門用於其他用途,包括 NSX 聯盟、叢集開機管理程式 (CBM) 和中央控制平面 (CCP)。

如需詳細資料,以瞭解為 NSXNSX 聯盟環境自動所設定的自我簽署憑證,請參閱NSX 和 NSX 聯盟的憑證

因憑證而異

NSX Service 憑證

NSX 服務憑證面向使用者,適用於負載平衡器、VPN 和 TLS 檢查等服務。原則 API 管理服務憑證。平台使用非服務憑證來執行叢集管理等工作。管理平面 (MP) 或信任存放區 API 管理的非服務憑證。

使用原則 API 新增服務憑證時,憑證會傳送至 MP/信任存放區 API,但反之則不存在這種關係。

NSX 服務憑證無法自我簽署。您必須匯入這些憑證。如需指示,請參閱匯入並取代憑證

您可以根據 RSA 產生 root 憑證授權機構 (CA) 憑證和私密金鑰。CA 憑證能夠簽署其他憑證。

如果憑證簽署要求 (CSR) 是由 CA (本機 CA 或 Verisign 等之類的公用 CA) 所簽署,您可以將其當成 NSX 服務憑證。CSR 完成簽署後,您便可將該已簽署的憑證匯入至 NSX Manager。CSR 可以在 NSX Manager 上或 NSX Manager 的外部產生。對於在 NSX Manager 中產生的 CSR,會停用服務憑證旗標。因此,已簽署的 CSR 無法作為服務憑證,僅能作為平台憑證。

平台和 NSX 服務憑證會個別儲存在系統內,且匯入為 NSX 服務憑證的憑證無法用於平台,反之亦然。

主體身分識別 (PI) 憑證

API 要求會使用 PI 憑證。PI 憑證是其中一種 NSX Manager 驗證機制。任何 NSX Manager 用戶端都可以建立及使用 PI 憑證。這是「機器到機器」通訊的慣用做法。

雲端管理平台 (CMP) 的 PI (例如 Openstack) 會使用將 CMP 上線為用戶端時所上傳的 X.509 憑證。如需將角色指派給主體身分識別以及更換 PI 憑證的相關資訊,請參閱新增角色指派或主體身分識別

NSX 聯盟的 PI 會將 X.509 平台憑證用於本機管理程式全域管理程式應用裝置。請參閱NSX 和 NSX 聯盟的憑證,以進一步瞭解為 NSX 聯盟自動設定的自我簽署憑證。