系统会为 NSX 设备之间通信和外部通信(包括 NSX 联合 设备)创建所需的证书。
要将现有自签名证书替换为 CA 签名证书,请参阅替换证书中的详细信息。要了解安全合规性事件,请参阅 NSX 事件目录。
| 证书命名约定 | 用途 | 是否可使用 service_type 替换 | 默认有效性 |
|---|---|---|---|
| APH-AR | 设备代理 Hub (Appliance Proxy Hub, APH) 服务器公钥和异步复制程序 | 是,请使用 service_type=APH。 | 825 天 |
| APH-TN | 传输节点 (Transport Node, TN) 和集群内部通信的设备代理 Hub (APH) 证书 | 是,请使用 service_type=APH_TN。 | 825 天 |
| API (也称为 tomcat) | NSX Manager 节点的 API 服务器证书 | 是,请使用 service_type=API。 | 825 天 |
| API-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_API。 | 100 年 |
| AR-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_AR。 | 100 年 |
| CCP-Corfu 客户端 | 控制配置平面 Corfu 客户端证书 | 是,请使用 service_type=CBM_CCP。 | 100 年 |
| 集群 (也称为 mp-cluster) | Corfu 客户端证书 | 是,请使用 service_type=MGMT_CLUSTER。 | 825 天 |
| 集群管理器 Corfu | Corfu 客户端证书 | 是,请使用 service_type=CBM_CLUSTER_MANAGER。 | 100 年 |
| CM 清单 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_CM_INVENTORY。 |
100 年 |
| Corfu 服务器 | Corfu 客户端证书 | 是,请使用 service_type=CBM_CORFU。 | 100 年 |
| IDPS 报告 - Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_IDPS_REPORTING。 | 100 年 |
| 消息管理器 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MESSAGING_MANAGER。 | 100 年 |
| 监控 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MONITORING。 | 100 年 |
| MP-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MP。 | 100 年 |
| Site Manager-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_SITE_MANAGER | 100 年 |
| 升级协调器 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_UPGRADE_COORDINATOR。 | 100 年 |
用于 NSX 联合通信的证书
默认情况下,全局管理器使用自签名证书与内部组件和已注册的本地管理器进行通信,以及为 NSX Manager UI 或 API 进行身份验证。
您可以在 NSX Manager 中查看外部 (UI/API) 证书和站点间证书。无法查看或编辑内部证书。
注: 在
全局管理器中注册
本地管理器之前,请不要启用
本地管理器外部 VIP。如果需要在同一
本地管理器上使用
NSX 联合和 PKS,请先完成用于创建外部 VIP 和更改
本地管理器证书的 PKS 任务,
然后再在
全局管理器中注册
本地管理器。
全局管理器和本地管理器的证书
将本地管理器添加到全局管理器后,可以通过在本地管理器和全局管理器之间交换证书来建立信任。这些证书还会复制到全局管理器中注册的每个站点。从 NSX 4.1.0 开始,仅当本地管理器在全局管理器中注册时,才会生成用于与全局管理器建立信任的证书。如果本地管理器移出 NSX 联合环境,将删除相同的证书。
有关为每个设备创建的所有 NSX 联合 特定证书的列表以及这些设备之间相互交换的证书列表,请参见“全局管理器和本地管理器的证书”表:
| 全局管理器或本地管理器中的命名约定 | 用途 | 可替换? | 默认有效性 |
|---|---|---|---|
| 以下是每个 NSX 联合设备特定的证书。 | |||
| APH-AR certificate |
|
是,请使用 service_type=APH。请参见替换证书。 | 10 年 |
| GlobalManager |
|
是,请使用 service_type=GLOBAL_MANAGER。请参阅替换证书。 | 825 天 |
| Cluster certificate |
|
是,请使用 service_type=MGMT_CLUSTER。请参阅替换证书。 | 825 天 |
| API certificate |
|
是,请使用 service_type=API。请参见替换证书。 | 825 天 |
| LocalManager |
|
是,请使用 service_type=LOCAL_MANAGER。请参见替换证书。 | 825 天 |
| LM 和 GM 之间相互共享集群、API 和 APH-AR 证书。如果证书是 CA 签名证书,则会同步 CA,但不会同步该证书。 | |||
NSX 联合的主体身份 (PI) 用户
将
本地管理器添加到
全局管理器后,将创建以下具有相应角色的 PI 用户。
| NSX 联合 设备 | PI 用户名 | PI 用户角色 |
|---|---|---|
| 全局管理器 | LocalManagerIdentity 在该全局管理器中注册的每个本地管理器各具有一个。 |
审核员 |
| 本地管理器 | GlobalManagerIdentity | 企业管理员 |
| LocalManagerIdentity
在同一
全局管理器中注册的每个
本地管理器各具有一个。由于
本地管理器 PI 用户在 UI 中不可见,要获取所有列表,请输入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
审核员 |
