Das System erstellt Zertifikate, die für die Kommunikation zwischen NSX-Appliances und externen Partnern, einschließlich NSX-Verbund-Appliances, erforderlich sind. Dieses Thema behandelt die verschiedenen Zertifikatsinformationen

Ab 4.1.0 wurden mehrere neue Zertifikattypen eingeführt, die in 3.2.x nicht vorhanden waren, darunter z. B. CCP, APH-TN und die Corfu-Zertifikate. Dies war Teil der EAL4-Anforderung, Zertifikate austauschbar zu machen. Sie werden diese im Rahmen des Upgradevorgangs sehen.
Hinweis: In einer Verbundbereitstellung von NSX werden Zertifikate, die von anderen Speicherorten stammen, im Bereich „Zertifikate“ angezeigt. Diese Zertifikate werden mit Namen angezeigt, die mit „Site“ beginnen, zum Beispiel: Site-Zertifikat L=PA,ST=CA,C=US, Site-Zertifikat UID=369cd66c-... , oder nur mit ihrer UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff. Wenn diese Zertifikate ablaufen, ersetzen Sie sie auf der Ursprungs-Site, an welcher der entsprechende private Schlüssel gespeichert ist. Sie finden diese Informationen in der Benutzeroberfläche im Bereich Wo verwendet oder in der API im Feld Verwendet von. Wenn Sie die Zertifikate auf einem ursprünglichen Globaler Manager oder Lokaler Manager ersetzen, synchronisiert das System sie automatisch in der gesamten Verbundbereitstellung.

Die Tabelle „Zertifikate für NSX Manager“ enthält Zertifikatdetails, einschließlich der Zeitspanne, in der Zertifikate nur für neue Bereitstellungen gültig sind. Bei Upgrades werden keine neuen Zertifikate generiert, sodass die Gültigkeitsdaten des Zertifikats das Standardzertifikatablaufdatum einer früheren NSX-Version widerspiegeln. Informationen zum Ersetzen vorhandener selbstsignierter Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate finden Sie in Zertifikate ersetzen. Informationen zu Sicherheitskonformitätsereignissen finden Sie im NSX-Ereigniskatalog.

Tabelle 1. Zertifikate für NSX Manager
Benennungskonvention für Zertifikate Zweck Austauschbar mithilfe von service_type Standardgültigkeit
APH-AR Öffentlicher Schlüssel des APH-Servers (Appliance Proxy Hub) und asynchroner Replikator für die übergreifende Kommunikation für den Verbund Ja, verwenden Sie „service_type=APH“. 825 Tage
APH-TN Appliance-Proxy-Hub (APH)-Zertifikat für Transportknoten (TN) und Kommunikation innerhalb des Clusters Ja, verwenden Sie „service_type=APH_TN“. 825 Tage
API (Tomcat) API-Serverzertifikat für NSX Manager-Knoten Ja, verwenden Sie „service_type=API“. 825 Tage
API – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_API“. 100 Jahre
AR – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_AR“. 100 Jahre
CCP – Corfu-Client CCP – Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_CCP“. 100 Jahre
CSM – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_CSM“. 100 Jahre
CCP Zertifikat der Steuerungskonfigurationsebene für die Kommunikation mit Transportknoten Ja, verwenden Sie „service_type=CCP“. 10 Jahre
Cluster (MP-Cluster) Von VIP verwendetes API-Serverzertifikat Ja, verwenden Sie „service_type=MGMT_CLUSTER“. 825 Tage
Cluster Manager – Corfu Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_CLUSTER_MANAGER“. 100 Jahre
CM-Bestand – Corfu-Client Corfu-Client-Zertifikat

Ja, verwenden Sie „service_type=CBM_CM_INVENTORY“.

 100 Jahre
Corfu-Server Corfu-Server-Zertifikat Ja, verwenden Sie „service_type=CBM_CORFU“. In 4.1.0: 825 Tage. Ab 4.1.1: 100 Jahre.
GM – Corfu-Client Corfu-Client-Zertifikat, nur auf Globaler Manager vorhanden Ja, verwenden Sie „service_type=CBM_GM“. 100 Jahre
IDPS-Berichterstellung – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_IDPS_REPORTING“. 100 Jahre
Messaging-Manager – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_MESSAGING_MANAGER“. 100 Jahre
Überwachung – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_MONITORING“. 100 Jahre
MP – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_MP“. 100 Jahre
Site Manager – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_SITE_MANAGER“. 100 Jahre
Upgrade-Koordinator – Corfu-Client Corfu-Client-Zertifikat Ja, verwenden Sie „service_type=CBM_UPGRADE_COORDINATOR“. 100 Jahre

Zertifikate für NSX-Verbund-Kommunikation

Standardmäßig verwendet der Globaler Manager selbstsignierte Zertifikate für die Kommunikation mit internen Komponenten, registrierten Lokaler Managern und für die Authentifizierung für die NSX Manager-Benutzeroberfläche oder -APIs.

Sie können die externen (UI/API) und die Inter-Site-Zertifikate in NSX Manager anzeigen. Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.

Hinweis: Aktivieren Sie externe VIP für Lokaler Manager erst, wenn Sie Lokaler Manager auf dem Globaler Manager registrieren. Wenn NSX-Verbund und die PKS auf demselben Lokaler Manager verwendet werden müssen, müssen PKS-Aufgaben zum Erstellen eines externen VIP und zur Änderung des Lokaler Manager-Zertifikats vor der Registrierung von Lokaler Manager auf Globaler Manager erfolgen.

Zertifikate für Globaler Manager und Lokaler Manager

Nachdem Sie einen Lokaler Manager im Globaler Manager hinzugefügt haben, wird durch den Austausch von Zertifikaten zwischen Lokaler Manager und Globaler Manager eine Vertrauensstellung hergestellt. Diese Zertifikate werden außerdem in alle beim Globaler Manager registrierten Sites kopiert. Ab NSX 4.1.0 wird das Zertifikat, das zum Herstellen einer Vertrauensstellung mit dem Globaler Manager verwendet wird, nur dann generiert, wenn der Lokaler Manager beim Globaler Manager registriert wird. Dasselbe Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund-Umgebung verschoben wird.

In der Tabelle der Zertifikate für globale und lokale Manager finden Sie eine Liste aller NSX-Verbund-spezifischen Zertifikate, die für die einzelnen Appliances erstellt wurden, sowie die Zertifikate, die diese Appliances miteinander austauschen:

Tabelle 2. Zertifikate für Globaler Manager und Lokaler Manager
Benennungskonvention in Globaler Manager oder Lokaler Manager Zweck Ersetzbar? Standardgültigkeit
Die folgenden Zertifikate sind spezifisch für jede NSX-Verbund-Appliance.
APH-AR certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die Kommunikation zwischen Sites über den AR-Kanal (Async-Replicator-Kanal) verwendet.
 Ja, verwenden Sie „service_type=APH“. Siehe Zertifikate ersetzen. 10 Jahre
GlobalManager
  • Für den Globaler Manager.
  • PI-Zertifikat für den Globaler Manager.
 Ja, verwenden Sie „service_type=GLOBAL_MANAGER“. Informationen finden Sie unter Zertifikate ersetzen. 825 Tage
Cluster certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit der VIP des Globaler Manager- oder des Lokaler Manager-Clusters verwendet.
Ja, verwenden Sie „service_type=MGMT_CLUSTER“. Informationen finden Sie unter Zertifikate ersetzen. 825 Tage
API certificate
  • Für den Globaler Manager und jeden Lokaler Manager.
  • Für die UI/API-Kommunikation mit einzelnen Globaler Manager- und Lokaler Manager-Knoten für jeden der zum Globaler Manager hinzugefügten Standorte verwendet.
Ja, verwenden Sie „service_type=API“. Siehe Zertifikate ersetzen. 825 Tage
LocalManager
  • Wird ab NSX 4.1 nur dann generiert, wenn sich Lokaler Manager-Server in der NSX-Verbund-Umgebung befinden. Das Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund-Umgebung verschoben wird.
  • PI-Zertifikat für diesen spezifischen Lokaler Manager.
Ja, verwenden Sie „service_type=LOCAL_MANAGER“. Siehe Zertifikate ersetzen. 825 Tage
LM und GM nutzen ihre Cluster-, API- und APH-AR-Zertifikate gemeinsam. Wenn ein Zertifikat von einer Zertifizierungsstelle signiert ist, wird die Zertifizierungsstelle synchronisiert, nicht jedoch das Zertifikat.

Prinzipalidentitätsbenutzer (PI-Benutzer) für NSX-Verbund

Nachdem Sie einen Lokaler Manager zum Globaler Manager hinzugefügt haben, werden die folgenden PI-Benutzer mit den entsprechenden Rollen erstellt.
Tabelle 3. Für NSX-Verbund erstellte Prinzipalidentitätsbenutzer (PI-Benutzer)
NSX-Verbund-Appliance PI-Benutzername PI-Benutzerrolle
Globaler Manager LocalManagerIdentity

Einer für jeden Lokaler Manager, der bei diesem Globaler Manager registriert ist.

 Auditor
Lokaler Manager GlobalManagerIdentity Enterprise-Administrator
LocalManagerIdentity
Einer für jeden Lokaler Manager, der bei demselben Globaler Manager registriert ist. Um eine Liste aller Lokaler Manager-PI-Benutzer abzurufen, die auf der Benutzeroberfläche nicht angezeigt werden, geben Sie den folgenden API-Befehl ein: 
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Auditor