系统创建 NSX 联合设备之间的通信以及外部通信所需的证书。
默认情况下,全局管理器使用自签名证书与内部组件和注册的本地管理器进行通信,以及在 NSX Manager UI 或 API 中进行身份验证。
您可以在 NSX Manager 中查看外部 (UI/API) 证书和站点间证书。无法查看或编辑内部证书。
全局管理器和本地管理器的证书
在将本地管理器添加到全局管理器后,验证本地管理器身份以进行外部和内部通信的所有证书将复制到全局管理器中,并在两个系统之间建立信任关系。这些证书还会复制到全局管理器中注册的每个站点。
有关为每个使用 NSX 联合的设备创建的所有证书的列表以及在这些设备之间交换的证书,请参见下表:
全局管理器或本地管理器中的命名约定 | 用途 | 可替换? | 默认有效性 |
---|---|---|---|
以下是每个 NSX 联合设备特定的证书。 | |||
APH-AR certificate |
|
否 | 10 年 |
GlobalManager |
|
是。请参见替换证书。 | 825 天 |
mp-cluster certificate |
|
||
tomcat certificate |
|
||
LocalManager |
|
||
以下是在 NSX 联合设备之间交换的证书。 | |||
全局管理器或本地管理器中的命名约定 | 用途 | 可替换? | 默认有效性 |
哈希处理的代码,例如 1729f966-67b7-4c17-bdf5-325affb79f4f |
|
不适用 |
|
Site certificate CN=<>,O |
|
NSX 联合的主体身份 (PI) 用户
在将本地管理器添加到全局管理器后,将创建以下具有相应角色的 PI 用户:
NSX 联合 设备 | PI 用户名 | PI 用户角色 |
---|---|---|
全局管理器 | LocalManagerIdentity 在该全局管理器中注册的每个本地管理器具有一个。 |
审核员 |
本地管理器 | GlobalManagerIdentity | 企业管理员 |
LocalManagerIdentity
在同一全局管理器中注册的每个本地管理器具有一个。可以使用以下 API 获取所有本地管理器 PI 用户的列表,因为它们在 UI 中不可见:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
审核员 |