系统会为 NSX 设备之间通信和外部通信(包括 NSX 联合 设备)创建所需的证书。本主题介绍了各种证书信息

从 4.1.0 开始,引入了 3.2.x 中不存在的一些新证书类型。例如,CCP、APH_TN 和 CBM_CLUSTER_MANAGER 及 CBM_CORFU 证书。这些是使证书可替换的 EAL4 要求的一部分。您将在升级过程中看到这些类型。
注: 在联合 NSX 部署中,源自其他位置的证书将显示在“证书”窗格中。这些证书显示的名称以“站点”开头;例如, 站点证书 L=PA,ST=CA,C=US站点证书 UID=369cd66c-...,或者仅使用其 UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff。如果这些证书即将过期,请在存储相应私钥的源站点上替换它们。您可以在 UI 上的 使用者字段或 API 中找到该信息。如果替换任何源 全局管理器本地管理器上的证书,系统会自动在整个联合部署中同步这些证书。

NSX Manager 的证书”表反映了证书详细信息,包括证书仅对新部署有效的时间范围。升级期间不会生成新证书,因此证书有效期日期将反映先前 NSX 版本的默认证书过期日期。要将现有自签名证书替换为 CA 签名证书,请参阅通过 API 替换证书中的详细信息。要了解安全合规性事件,请参阅 NSX 事件目录

表 1. NSX Manager 证书
证书命名约定 用途 是否可使用 service_type 替换 默认有效性
APH(也称为 APH_AR) 用于交叉通信的设备代理 Hub (Appliance Proxy Hub, APH) 服务器公钥和异步复制程序(用于联合) 是,请使用 service_type=APH。 825 天
APH_TN 传输节点 (Transport Node, TN) 和集群内部通信的设备代理 Hub (APH) 证书 是,请使用 service_type=APH_TN。 825 天
API NSX Manager 节点的 API 服务器证书 是,请使用 service_type=API。 825 天
CCP 用于与传输节点通信的控制配置平面证书 是,请使用 service_type=CCP。 10 年
MGMT_CLUSTER(也称为 VIP) VIP 使用的 API 服务器证书 是,请使用 service_type=MGMT_CLUSTER。 825 天
CBM_CLUSTER_MANAGER Corfu 客户端证书 是,请使用 service_type=CBM_CLUSTER_MANAGER。 100 年
CBM_CORFU Corfu 服务器证书 是,请使用 service_type=CBM_CORFU。 在 4.1.0 中,为 825 天。从 4.1.1 开始,为 100 年。

用于 NSX 联合通信的证书

默认情况下,全局管理器使用自签名证书与内部组件和已注册的本地管理器进行通信,以及为 NSX Manager UI 或 API 进行身份验证。

您可以在 NSX Manager 中查看外部 (UI/API) 证书和站点间证书。无法查看或编辑内部证书。

注:全局管理器中注册 本地管理器之前,请不要启用 本地管理器外部 VIP。如果需要在同一 本地管理器上使用 NSX 联合和 PKS,请先完成用于创建外部 VIP 和更改 本地管理器证书的 PKS 任务, 然后再在 全局管理器中注册 本地管理器

全局管理器本地管理器的证书

本地管理器添加到全局管理器后,可以通过在本地管理器全局管理器之间交换证书来建立信任。这些证书还会复制到全局管理器中注册的每个站点。从 NSX 4.1.0 开始,仅当本地管理器全局管理器中注册时,才会生成用于与全局管理器建立信任的证书。如果本地管理器移出 NSX 联合环境,将删除相同的证书。

有关为每个设备创建的所有 NSX 联合 特定证书的列表以及这些设备之间相互交换的证书列表,请参见“全局管理器和本地管理器的证书”表:

表 2. 全局管理器本地管理器的证书
全局管理器本地管理器中的命名约定 用途 可替换? 默认有效性
以下是每个 NSX 联合设备特定的证书。
APH-AR certificate
  • 用于全局管理器和每个本地管理器
  • 用于使用 AR 通道(异步复制程序通道)的站点间通信。
是,请使用 service_type=APH。请参见通过 API 替换证书 10 年
GlobalManager
  • 用于全局管理器
  • 全局管理器的 PI 证书。
是,请使用 service_type=GLOBAL_MANAGER。请参阅通过 API 替换证书 825 天
Cluster certificate
  • 用于全局管理器和每个本地管理器
  • 用于与全局管理器本地管理器集群的 VIP 之间的 UI/API 通信。
是,请使用 service_type=MGMT_CLUSTER。请参阅通过 API 替换证书 825 天
API certificate
  • 用于全局管理器和每个本地管理器
  • 用于与单个全局管理器以及添加到全局管理器的每个位置的本地管理器节点之间的 UI/API 通信。
是,请使用 service_type=API。请参见通过 API 替换证书 825 天
LocalManager
  • NSX 4.1 开始,仅当本地管理器服务器位于 NSX 联合 环境中时,才会生成证书。如果本地管理器移出 NSX 联合环境,将删除该证书。
  • 该特定本地管理器的 PI 证书。
是,请使用 service_type=LOCAL_MANAGER。请参见通过 API 替换证书 825 天
LM 和 GM 之间相互共享集群、API 和 APH-AR 证书。如果证书是 CA 签名证书,则会同步 CA,但不会同步该证书。

NSX 联合的主体身份 (PI) 用户

本地管理器添加到 全局管理器后,将创建以下具有相应角色的 PI 用户。
表 3. NSX 联合创建的主体身份 (PI) 用户
NSX 联合 设备 PI 用户名 PI 用户角色
全局管理器 LocalManagerIdentity

在该全局管理器中注册的每个本地管理器各具有一个。

审核员
本地管理器 GlobalManagerIdentity 企业管理员
LocalManagerIdentity
在同一 全局管理器中注册的每个 本地管理器各具有一个。由于 本地管理器 PI 用户在 UI 中不可见,要获取所有列表,请输入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
审核员