系统创建 NSX 联合设备之间的通信以及外部通信所需的证书。

默认情况下,全局管理器使用自签名证书与内部组件和注册的本地管理器进行通信,以及在 NSX Manager UI 或 API 中进行身份验证。

您可以在 NSX Manager 中查看外部 (UI/API) 证书和站点间证书。无法查看或编辑内部证书。

注:全局管理器中注册 本地管理器之前,请不要启用 本地管理器外部 VIP。如果需要在同一 本地管理器上使用 NSX 联合和 PKS,请先完成用于创建外部 VIP 和更改 本地管理器证书的 PKS 任务, 然后再在 全局管理器中注册 本地管理器

全局管理器和本地管理器的证书

在将本地管理器添加到全局管理器后,用于验证本地管理器身份以进行外部和内部通信的所有证书都将复制到全局管理器中,并在两个系统之间建立信任关系。这些证书还会复制到全局管理器中注册的每个站点。

有关为每个使用 NSX 联合的设备创建的所有证书的列表以及在这些设备之间交换的证书,请参见下表:

表 1. 全局管理器和本地管理器的证书
全局管理器或本地管理器中的命名约定 用途 可替换? 默认有效性
以下是每个 NSX 联合设备特定的证书。
APH-AR certificate
  • 用于全局管理器和每个本地管理器
  • 用于使用 AR 通道(异步复制程序通道)的站点间通信。
是。请参见替换证书 10 年
GlobalManager
  • 用于全局管理器
  • 全局管理器的 PI 证书。
是。请参见替换证书 825 天
mp-cluster certificate
  • 用于全局管理器和每个本地管理器
  • 用于与全局管理器本地管理器集群的 VIP 之间的 UI/API 通信。
tomcat certificate
  • 用于全局管理器和每个本地管理器
  • 用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。
LocalManager
  • 用于本地管理器
  • 该特定本地管理器的 PI 证书。
以下是在 NSX 联合设备之间交换的证书。
全局管理器或本地管理器中的命名约定 用途 可替换? 默认有效性
哈希处理的代码,例如 1729f966-67b7-4c17-bdf5-325affb79f4f
  • 全局管理器中注册的所有本地管理器之间交换。
  • 与本地管理器交换的全局管理器的 PI 证书。
  • 与所有注册的位置管理器交换的每个位置的 PI 证书。

不适用

Site certificate CN=<>,O
  • 在所有 NSX 联合设备之间交换:所有注册的本地管理器和全局管理器
  • 所有类型的证书。

NSX 联合的主体身份 (PI) 用户

在将本地管理器添加到 全局管理器后,将创建以下具有相应角色的 PI 用户:
表 2. NSX 联合创建的主体身份 (PI) 用户
NSX 联合 设备 PI 用户名 PI 用户角色
全局管理器 LocalManagerIdentity

在该全局管理器中注册的每个本地管理器各具有一个。

审核员
本地管理器 GlobalManagerIdentity 企业管理员
LocalManagerIdentity
在同一 全局管理器中注册的每个本地管理器各具有一个。可以使用以下 API 获取所有本地管理器 PI 用户的列表,因为它们在 UI 中不可见:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
审核员