Das System erstellt Zertifikate, die für die Kommunikation zwischen NSX-Appliances und externen Partnern, einschließlich NSX-Verbund-Appliances, erforderlich sind. Dieses Thema behandelt die verschiedenen Zertifikatsinformationen

Ab 4.1.0 wurden mehrere neue Zertifikattypen eingeführt, die in 3.2.x nicht vorhanden waren, darunter z. B. CCP, APH_TN und die CBM_CLUSTER_MANAGER- und CBM_CORFU-Zertifikate. Dies war Teil der EAL4-Anforderung, Zertifikate austauschbar zu machen. Sie werden diese im Rahmen des Upgradevorgangs sehen.
Hinweis: In einer Verbundbereitstellung von NSX werden Zertifikate, die von anderen Speicherorten stammen, im Bereich „Zertifikate“ angezeigt. Diese Zertifikate werden mit Namen angezeigt, die mit „Site“ beginnen, zum Beispiel: Site-Zertifikat L=PA,ST=CA,C=US, Site-Zertifikat UID=369cd66c-... , oder nur mit ihrer UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff. Wenn diese Zertifikate ablaufen, ersetzen Sie sie auf der Ursprungs-Site, an welcher der entsprechende private Schlüssel gespeichert ist. Sie finden diese Informationen im Feld Verwendet von auf der Benutzeroberfläche oder in der API. Wenn Sie die Zertifikate auf einem ursprünglichen Globaler Manager oder Lokaler Manager ersetzen, synchronisiert das System sie automatisch in der gesamten Verbundbereitstellung.

Die Tabelle „Zertifikate für NSX Manager“ enthält Zertifikatdetails, einschließlich der Zeitspanne, in der Zertifikate nur für neue Bereitstellungen gültig sind. Bei Upgrades werden keine neuen Zertifikate generiert, sodass die Gültigkeitsdaten des Zertifikats das Standardzertifikatablaufdatum einer früheren NSX-Version widerspiegeln. Informationen zum Ersetzen vorhandener selbstsignierter Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate finden Sie in Zertifikate durch API ersetzen. Informationen zu Sicherheitskonformitätsereignissen finden Sie im NSX-Ereigniskatalog.

Tabelle 1. Zertifikate für NSX Manager
Benennungskonvention für Zertifikate Zweck Austauschbar mithilfe von service_type Standardgültigkeit
APH (auch bekannt als APH_AR) Öffentlicher Schlüssel des APH-Servers (Appliance Proxy Hub) und asynchroner Replikator für die übergreifende Kommunikation für den Verbund Ja, verwenden Sie „service_type=APH“. 825 Tage
APH_TN Appliance-Proxy-Hub (APH)-Zertifikat für Transportknoten (TN) und Kommunikation innerhalb des Clusters Ja, verwenden Sie „service_type=APH_TN“. 825 Tage
API API-Serverzertifikat für NSX Manager-Knoten Ja, verwenden Sie „service_type=API“. 825 Tage
CCP Zertifikat der Steuerungskonfigurationsebene für die Kommunikation mit Transportknoten Ja, verwenden Sie „service_type=CCP“. 10 Jahre
MGMT_CLUSTER (auch bekannt als VIP) Von VIP verwendetes API-Serverzertifikat Ja, verwenden Sie „service_type=MGMT_CLUSTER“. 825 Tage
CBM_CLUSTER_MANAGER Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_CLUSTER_MANAGER“. 100 Jahre
CBM_CORFU Corfu-Server-Zertifikat Ja, verwenden Sie „service_type=CBM_CORFU“. In 4.1.0: 825 Tage. Ab 4.1.1: 100 Jahre.

Zertifikate für NSX-Verbund-Kommunikation

Standardmäßig verwendet der Globaler Manager selbstsignierte Zertifikate für die Kommunikation mit internen Komponenten, registrierten Lokaler Managern und für die Authentifizierung für die NSX Manager-Benutzeroberfläche oder -APIs.

Sie können die externen (UI/API) und die Inter-Site-Zertifikate in NSX Manager anzeigen. Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.

Hinweis: Aktivieren Sie externe VIP für Lokaler Manager erst, wenn Sie Lokaler Manager auf dem Globaler Manager registrieren. Wenn NSX-Verbund und die PKS auf demselben Lokaler Manager verwendet werden müssen, müssen PKS-Aufgaben zum Erstellen eines externen VIP und zur Änderung des Lokaler Manager-Zertifikats vor der Registrierung von Lokaler Manager auf Globaler Manager erfolgen.

Zertifikate für Globaler Manager und Lokaler Manager

Nachdem Sie einen Lokaler Manager im Globaler Manager hinzugefügt haben, wird durch den Austausch von Zertifikaten zwischen Lokaler Manager und Globaler Manager eine Vertrauensstellung hergestellt. Diese Zertifikate werden außerdem in alle beim Globaler Manager registrierten Sites kopiert. Ab NSX 4.1.0 wird das Zertifikat, das zum Herstellen einer Vertrauensstellung mit dem Globaler Manager verwendet wird, nur dann generiert, wenn der Lokaler Manager beim Globaler Manager registriert wird. Dasselbe Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund-Umgebung verschoben wird.

In der Tabelle der Zertifikate für globale und lokale Manager finden Sie eine Liste aller NSX-Verbund-spezifischen Zertifikate, die für die einzelnen Appliances erstellt wurden, sowie die Zertifikate, die diese Appliances miteinander austauschen:

Tabelle 2. Zertifikate für Globaler Manager und Lokaler Manager
Benennungskonvention in Globaler Manager oder Lokaler Manager Zweck Ersetzbar? Standardgültigkeit
Die folgenden Zertifikate sind spezifisch für jede NSX-Verbund-Appliance.
APH-AR certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die Kommunikation zwischen Sites über den AR-Kanal (Async-Replicator-Kanal) verwendet.
Ja, verwenden Sie „service_type=APH“. Siehe Zertifikate durch API ersetzen. 10 Jahre
GlobalManager
  • Für den Globaler Manager.
  • PI-Zertifikat für den Globaler Manager.
Ja, verwenden Sie „service_type=GLOBAL_MANAGER“. Informationen finden Sie unter Zertifikate durch API ersetzen. 825 Tage
Cluster certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit der VIP des Globaler Manager- oder des Lokaler Manager-Clusters verwendet.
Ja, verwenden Sie „service_type=MGMT_CLUSTER“. Informationen finden Sie unter Zertifikate durch API ersetzen. 825 Tage
API certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit einzelnen Globaler Manager- und Lokaler Manager-Knoten für jeden der zum Globaler Manager hinzugefügten Standorte verwendet.
Ja, verwenden Sie „service_type=API“. Siehe Zertifikate durch API ersetzen. 825 Tage
LocalManager
  • Wird ab NSX 4.1 nur dann generiert, wenn sich Lokaler Manager-Server in der NSX-Verbund-Umgebung befinden. Das Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund-Umgebung verschoben wird.
  • PI-Zertifikat für diesen spezifischen Lokaler Manager.
Ja, verwenden Sie „service_type=LOCAL_MANAGER“. Siehe Zertifikate durch API ersetzen. 825 Tage
LM und GM nutzen ihre Cluster-, API- und APH-AR-Zertifikate gemeinsam. Wenn ein Zertifikat von einer Zertifizierungsstelle signiert ist, wird die Zertifizierungsstelle synchronisiert, nicht jedoch das Zertifikat.

Prinzipalidentitätsbenutzer (PI-Benutzer) für NSX-Verbund

Nachdem Sie einen Lokaler Manager zum Globaler Manager hinzugefügt haben, werden die folgenden PI-Benutzer mit den entsprechenden Rollen erstellt.
Tabelle 3. Für NSX-Verbund erstellte Prinzipalidentitätsbenutzer (PI-Benutzer)
NSX-Verbund-Appliance PI-Benutzername PI-Benutzerrolle
Globaler Manager LocalManagerIdentity

Einer für jeden Lokaler Manager, der bei diesem Globaler Manager registriert ist.

Auditor
Lokaler Manager GlobalManagerIdentity Enterprise-Administrator
LocalManagerIdentity
Einer für jeden Lokaler Manager, der bei demselben Globaler Manager registriert ist. Um eine Liste aller Lokaler Manager-PI-Benutzer abzurufen, die auf der Benutzeroberfläche nicht angezeigt werden, geben Sie den folgenden API-Befehl ein:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Auditor