系统会为 NSX 设备之间通信和外部通信(包括 NSX 联合 设备)创建所需的证书。本主题介绍了各种证书信息
从 4.1.0 开始,引入了 3.2.x 中不存在的一些新证书类型。例如,CCP、APH-TN 和 Corfu 证书。这些是使证书可替换的 EAL4 要求的一部分。您将在升级过程中看到这些类型。
注: 在联合
NSX 部署中,源自其他位置的证书将显示在“证书”窗格中。这些证书显示的名称以“站点”开头;例如,
站点证书 L=PA,ST=CA,C=US、
站点证书 UID=369cd66c-...,或者仅使用其 UUID
637a2ebf-84d1-4548-a0ba-51d9420672ff。如果这些证书即将过期,请在存储相应私钥的源站点上替换它们。您可以在 UI 的
使用位置列下或在 API 的
使用者字段中找到该信息。如果替换任何源
全局管理器或
本地管理器上的证书,系统会自动在整个联合部署中同步这些证书。
“NSX Manager 的证书”表反映了证书详细信息,包括证书仅对新部署有效的时间范围。升级期间不会生成新证书,因此证书有效期日期将反映先前 NSX 版本的默认证书过期日期。要将现有自签名证书替换为 CA 签名证书,请参阅替换证书中的详细信息。要了解安全合规性事件,请参阅 NSX 事件目录。
| 证书命名约定 | 用途 | 是否可使用 service_type 替换 | 默认有效性 |
|---|---|---|---|
| APH-AR | 用于交叉通信的设备代理 Hub (Appliance Proxy Hub, APH) 服务器公钥和异步复制程序(用于联合) | 是,请使用 service_type=APH。 | 825 天 |
| APH-TN | 传输节点 (Transport Node, TN) 和集群内部通信的设备代理 Hub (APH) 证书 | 是,请使用 service_type=APH_TN。 | 825 天 |
| API (也称为 tomcat) | NSX Manager 节点的 API 服务器证书 | 是,请使用 service_type=API。 | 825 天 |
| API-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_API。 | 100 年 |
| AR-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_AR。 | 100 年 |
| CCP-Corfu 客户端 | 控制配置平面 Corfu 客户端证书 | 是,请使用 service_type=CBM_CCP。 | 100 年 |
| CSM-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_CSM。 | 100 年 |
| CCP | 用于与传输节点通信的控制配置平面证书 | 是,请使用 service_type=CCP。 | 10 年 |
| 集群 (也称为 mp-cluster) | VIP 使用的 API 服务器证书 | 是,请使用 service_type=MGMT_CLUSTER。 | 825 天 |
| 集群管理器 Corfu | Corfu 客户端证书 | 是,请使用 service_type=CBM_CLUSTER_MANAGER。 | 100 年 |
| CM 清单 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_CM_INVENTORY。 |
100 年 |
| Corfu 服务器 | Corfu 服务器证书 | 是,请使用 service_type=CBM_CORFU。 | 在 4.1.0 中,为 825 天。从 4.1.1 开始,为 100 年。 |
| GM-Corfu 客户端 | Corfu 客户端证书仅存在于全局管理器上 | 是,请使用 service_type=CBM_GM。 | 100 年 |
| IDPS 报告 - Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_IDPS_REPORTING。 | 100 年 |
| 消息管理器 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MESSAGING_MANAGER。 | 100 年 |
| 监控 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MONITORING。 | 100 年 |
| MP-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_MP。 | 100 年 |
| Site Manager-Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_SITE_MANAGER | 100 年 |
| 升级协调器 Corfu 客户端 | Corfu 客户端证书 | 是,请使用 service_type=CBM_UPGRADE_COORDINATOR。 | 100 年 |
用于 NSX 联合通信的证书
默认情况下,全局管理器使用自签名证书与内部组件和已注册的本地管理器进行通信,以及为 NSX Manager UI 或 API 进行身份验证。
您可以在 NSX Manager 中查看外部 (UI/API) 证书和站点间证书。无法查看或编辑内部证书。
注: 在
全局管理器中注册
本地管理器之前,请不要启用
本地管理器外部 VIP。如果需要在同一
本地管理器上使用
NSX 联合和 PKS,请先完成用于创建外部 VIP 和更改
本地管理器证书的 PKS 任务,
然后再在
全局管理器中注册
本地管理器。
全局管理器和本地管理器的证书
将本地管理器添加到全局管理器后,可以通过在本地管理器和全局管理器之间交换证书来建立信任。这些证书还会复制到全局管理器中注册的每个站点。从 NSX 4.1.0 开始,仅当本地管理器在全局管理器中注册时,才会生成用于与全局管理器建立信任的证书。如果本地管理器移出 NSX 联合环境,将删除相同的证书。
有关为每个设备创建的所有 NSX 联合 特定证书的列表以及这些设备之间相互交换的证书列表,请参见“全局管理器和本地管理器的证书”表:
| 全局管理器或本地管理器中的命名约定 | 用途 | 可替换? | 默认有效性 |
|---|---|---|---|
| 以下是每个 NSX 联合设备特定的证书。 | |||
| APH-AR certificate |
|
是,请使用 service_type=APH。请参见替换证书。 | 10 年 |
| GlobalManager |
|
是,请使用 service_type=GLOBAL_MANAGER。请参阅替换证书。 | 825 天 |
| Cluster certificate |
|
是,请使用 service_type=MGMT_CLUSTER。请参阅替换证书。 | 825 天 |
| API certificate |
|
是,请使用 service_type=API。请参见替换证书。 | 825 天 |
| LocalManager |
|
是,请使用 service_type=LOCAL_MANAGER。请参见替换证书。 | 825 天 |
| LM 和 GM 之间相互共享集群、API 和 APH-AR 证书。如果证书是 CA 签名证书,则会同步 CA,但不会同步该证书。 | |||
NSX 联合的主体身份 (PI) 用户
将
本地管理器添加到
全局管理器后,将创建以下具有相应角色的 PI 用户。
| NSX 联合 设备 | PI 用户名 | PI 用户角色 |
|---|---|---|
| 全局管理器 | LocalManagerIdentity 在该全局管理器中注册的每个本地管理器各具有一个。 |
审核员 |
| 本地管理器 | GlobalManagerIdentity | 企业管理员 |
| LocalManagerIdentity
在同一
全局管理器中注册的每个
本地管理器各具有一个。由于
本地管理器 PI 用户在 UI 中不可见,要获取所有列表,请输入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
审核员 |
