Das System erstellt Zertifikate, die für die Kommunikation zwischen NSX-Appliances und externen Partnern, einschließlich NSX-Verbund-Appliances, erforderlich sind. Dieses Thema behandelt die verschiedenen Zertifikatsinformationen
Die Tabelle „Zertifikate für NSX Manager“ enthält Zertifikatdetails, einschließlich der Zeitspanne, in der Zertifikate nur für neue Bereitstellungen gültig sind. Bei Upgrades werden keine neuen Zertifikate generiert, sodass die Gültigkeitsdaten des Zertifikats das Standardzertifikatablaufdatum einer früheren NSX-Version widerspiegeln. Informationen zum Ersetzen vorhandener selbstsignierter Zertifikate durch von einer Zertifizierungsstelle signierte Zertifikate finden Sie in Zertifikate durch API ersetzen. Informationen zu Sicherheitskonformitätsereignissen finden Sie im NSX-Ereigniskatalog.
Benennungskonvention für Zertifikate | Zweck | Austauschbar mithilfe von service_type | Standardgültigkeit |
---|---|---|---|
APH (auch bekannt als APH_AR) | Öffentlicher Schlüssel des APH-Servers (Appliance Proxy Hub) und asynchroner Replikator für die übergreifende Kommunikation für den Verbund | Ja, verwenden Sie „service_type=APH“. | 825 Tage |
APH_TN | Appliance-Proxy-Hub (APH)-Zertifikat für Transportknoten (TN) und Kommunikation innerhalb des Clusters | Ja, verwenden Sie „service_type=APH_TN“. | 825 Tage |
API | API-Serverzertifikat für NSX Manager-Knoten | Ja, verwenden Sie „service_type=API“. | 825 Tage |
CCP | Zertifikat der Steuerungskonfigurationsebene für die Kommunikation mit Transportknoten | Ja, verwenden Sie „service_type=CCP“. | 10 Jahre |
MGMT_CLUSTER (auch bekannt als VIP) | Von VIP verwendetes API-Serverzertifikat | Ja, verwenden Sie „service_type=MGMT_CLUSTER“. | 825 Tage |
CBM_CLUSTER_MANAGER | Corfu-Client-Zertifikat | Ja, verwenden Sie „service_type=CBM_CLUSTER_MANAGER“. | 100 Jahre |
CBM_CORFU | Corfu-Server-Zertifikat | Ja, verwenden Sie „service_type=CBM_CORFU“. | In 4.1.0: 825 Tage. Ab 4.1.1: 100 Jahre. |
Zertifikate für NSX-Verbund-Kommunikation
Standardmäßig verwendet der Globaler Manager selbstsignierte Zertifikate für die Kommunikation mit internen Komponenten, registrierten Lokaler Managern und für die Authentifizierung für die NSX Manager-Benutzeroberfläche oder -APIs.
Sie können die externen (UI/API) und die Inter-Site-Zertifikate in NSX Manager anzeigen. Die internen Zertifikate können nicht angezeigt oder bearbeitet werden.
Zertifikate für Globaler Manager und Lokaler Manager
Nachdem Sie einen Lokaler Manager im Globaler Manager hinzugefügt haben, wird durch den Austausch von Zertifikaten zwischen Lokaler Manager und Globaler Manager eine Vertrauensstellung hergestellt. Diese Zertifikate werden außerdem in alle beim Globaler Manager registrierten Sites kopiert. Ab NSX 4.1.0 wird das Zertifikat, das zum Herstellen einer Vertrauensstellung mit dem Globaler Manager verwendet wird, nur dann generiert, wenn der Lokaler Manager beim Globaler Manager registriert wird. Dasselbe Zertifikat wird gelöscht, wenn der Lokaler Manager aus der NSX-Verbund-Umgebung verschoben wird.
In der Tabelle der Zertifikate für globale und lokale Manager finden Sie eine Liste aller NSX-Verbund-spezifischen Zertifikate, die für die einzelnen Appliances erstellt wurden, sowie die Zertifikate, die diese Appliances miteinander austauschen:
Benennungskonvention in Globaler Manager oder Lokaler Manager | Zweck | Ersetzbar? | Standardgültigkeit |
---|---|---|---|
Die folgenden Zertifikate sind spezifisch für jede NSX-Verbund-Appliance. | |||
APH-AR certificate |
|
Ja, verwenden Sie „service_type=APH“. Siehe Zertifikate durch API ersetzen. | 10 Jahre |
GlobalManager |
|
Ja, verwenden Sie „service_type=GLOBAL_MANAGER“. Informationen finden Sie unter Zertifikate durch API ersetzen. | 825 Tage |
Cluster certificate |
|
Ja, verwenden Sie „service_type=MGMT_CLUSTER“. Informationen finden Sie unter Zertifikate durch API ersetzen. | 825 Tage |
API certificate |
|
Ja, verwenden Sie „service_type=API“. Siehe Zertifikate durch API ersetzen. | 825 Tage |
LocalManager |
|
Ja, verwenden Sie „service_type=LOCAL_MANAGER“. Siehe Zertifikate durch API ersetzen. | 825 Tage |
LM und GM nutzen ihre Cluster-, API- und APH-AR-Zertifikate gemeinsam. Wenn ein Zertifikat von einer Zertifizierungsstelle signiert ist, wird die Zertifizierungsstelle synchronisiert, nicht jedoch das Zertifikat. |
Prinzipalidentitätsbenutzer (PI-Benutzer) für NSX-Verbund
NSX-Verbund-Appliance | PI-Benutzername | PI-Benutzerrolle |
---|---|---|
Globaler Manager | LocalManagerIdentity Einer für jeden Lokaler Manager, der bei diesem Globaler Manager registriert ist. |
Auditor |
Lokaler Manager | GlobalManagerIdentity | Enterprise-Administrator |
LocalManagerIdentity
Einer für jeden
Lokaler Manager, der bei demselben
Globaler Manager registriert ist. Um eine Liste aller
Lokaler Manager-PI-Benutzer abzurufen, die auf der Benutzeroberfläche nicht angezeigt werden, geben Sie den folgenden API-Befehl ein:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
Auditor |