El sistema crea los certificados necesarios para la comunicación entre los dispositivos de NSX Federation y para la comunicación externa.

De forma predeterminada, Global Manager utiliza certificados autofirmados para comunicarse con componentes internos y Local Managers registrados, así como para la autenticación de las API o la interfaz de usuario de NSX Manager.

Puede ver los certificados externos (interfaz de usuario/API) y entre sitios en NSX Manager. Los certificados internos no se pueden ver ni editar.

Nota: No deben habilitarse VIP externas de Local Manager antes de registrar un Local Manager en el Global Manager. Cuando Federation y PKS deben usarse en el mismo Local Manager, se deben realizar tareas de PKS para crear una VIP externa y cambiar el certificado de Local Manager antes de registrar el Local Manager en Global Manager.

Configurar Global Manager y los Local Manager

Después de agregar un Local Manager a Global Manager, todos los certificados que autentican el Local Manager para la comunicación externa e interna se copian en Global Manager y se establece la confianza entre los dos sistemas. Estos certificados también se copian en cada uno de los sitios registrados con Global Manager.

Consulte en la siguiente tabla una lista de todos los certificados creados para cada dispositivo mediante NSX Federation y los certificados que estos dispositivos intercambian entre sí:

Tabla 1. Configurar Global Manager y los Local Manager
Convención de nomenclatura en Global Manager o Local Manager Propósito ¿Reemplazable? Validez predeterminada
Los siguientes son certificados específicos de cada dispositivo de NSX Federation.
APH-AR certificate
  • Para Global Manager y cada Local Manager.
  • Se utiliza para la comunicación entre sitios mediante el canal AR (canal Async-Replicator).
No 10 años
GlobalManager
  • Para Global Manager.
  • Certificado de PI para Global Manager.
Sí. Consulte Reemplazar certificados. 825 días
mp-cluster certificate
  • Para Global Manager y cada Local Manager.
  • Se utiliza para la comunicación de la interfaz de usuario o la API con la VIP de Global Manager o del clúster de Local Manager.
tomcat certificate
  • Para Global Manager y cada Local Manager.
  • Se utiliza para la comunicación de la interfaz de usuario/API con los nodos de Global Manager y de Local Manager individuales para cada una de las ubicaciones que se agregan a Global Manager.
LocalManager
  • Para Local Manager.
  • Certificado de PI para este Local Manager específico.
Los siguientes son certificados que se intercambian entre los dispositivos de NSX Federation.
Convención de nomenclatura en Global Manager o Local Manager Propósito ¿Reemplazable? Validez predeterminada
Código hash, por ejemplo, 1729f966-67b7-4c17-bdf5-325affb79f4f
  • Se intercambia entre todos los Local Manager registrados con Global Manager.
  • El certificado de PI para Global Manager se intercambia con los Local Manager.
  • Los certificados de PI de cada una de las ubicaciones se intercambian con todos los administradores de ubicación registrados.

No aplicable

Site certificate CN=<>,O
  • Se intercambia entre todos los dispositivos de NSX Federation: todos los Local Manager registrados y Global Manager.
  • Todos los tipos de certificados.

Usuarios de identidad principal (PI) para NSX Federation

Los siguientes usuarios de PI con las funciones correspondientes se crean después de agregar un Local Manager a Global Manager:
Tabla 2. Usuarios de identidad principal (PI) creados para NSX Federation
Dispositivo NSX Federation Nombre de usuario de PI Función de usuario de PI
Global Manager LocalManagerIdentity

Uno para cada Local Manager registrado con este Global Manager.

auditor
Local Manager GlobalManagerIdentity Administrador de organización
LocalManagerIdentity
Uno para cada Local Manager registrado con el mismo Global Manager. Utilice la siguiente API para obtener una lista de todos los usuarios de la PI de Local Manager, ya que no están visibles en la interfaz de usuario:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
auditor