El sistema crea los certificados necesarios para la comunicación entre los dispositivos de NSX y la comunicación externa, incluidos los dispositivos de NSX Federation. Este tema incluye información de diversos certificados

A partir de la versión 4.1.0, se introdujeron varios tipos de certificados nuevos que no estaban en las versiones 3.2.x, como los certificados CCP, APH-TN y Corfu. Estos eran parte del requisito de EAL4 para que los certificados se pudieran reemplazar. Los verá como parte del proceso de actualización.
Nota: En una implementación de NSX federada, los certificados procedentes de otras ubicaciones aparecerán en el panel Certificados. Esos certificados se muestran con nombres que comienzan con Site, como Site certificate L=PA,ST=CA,C=US, Site certificate UID=369cd66c-..., o solo con su UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff. Si dichos certificados caducan, reemplácelos en el sitio de origen en el que se almacena la clave privada correspondiente. Puede encontrar esa información en la interfaz de usuario en la columna Dónde se usa o en la API en el campo Utilizado por. Si reemplaza los certificados en cualquier Global Manager o Local Manager de origen, el sistema los sincronizará automáticamente en la implementación federada.

La tabla Certificados para NSX Manager indica los detalles del certificado, incluido el tiempo que los certificados son válidos solo para nuevas implementaciones. Los nuevos certificados no se generan durante las actualizaciones, por lo que las fechas de validez de los certificados reflejarán la fecha de caducidad predeterminada del certificado de una versión de NSX anterior. Para reemplazar los certificados autofirmados existentes por certificados firmados por una CA, consulte los detalles en Reemplazar certificados. Para obtener más información sobre los eventos de conformidad de seguridad, consulte el Catálogo de eventos de NSX.

Tabla 1. Certificados para instancias de NSX Manager
Convención de nomenclatura de certificados Propósito Reemplazable mediante service_type Validez predeterminada
APH-AR Clave pública de servidor APH (Appliance Proxy Hub) y replicador asincrónico para comunicación cruzada, para Federation Sí, usar service_type=APH. 825 días
APH-TN Certificado APH (hub de proxy de dispositivo) para la comunicación dentro del clúster y el nodo de transporte (TN) Sí, usar service_type=APH_TN. 825 días
API (también denominado tomcat) Certificado de servidor de API para el nodo de NSX Manager Sí, usar service_type=API. 825 días
Cliente API-Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_API. 100 años
Cliente AR-Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_AR. 100 años
Cliente CCP-Corfu Certificado de cliente de Corfu del plano de configuración de control Sí, usar service_type=CBM_CCP. 100 años
CSM-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_CSM. 100 años
CCP Certificado del plano de configuración de control para comunicación con los nodos de transporte Sí, usar service_type=CCP. 10 años
Clúster (también denominado mp-cluster) Certificado del servidor API utilizado por VIP Sí, usar service_type=MGMT_CLUSTER. 825 días
Administrador de clústeres-Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_CLUSTER_MANAGER. 100 años
Inventario de CM-Cliente de Corfu Certificado de cliente de Corfu

Sí, usar service_type=CBM_CM_INVENTORY.

 100 años
Servidor Corfu Certificado de servidor de Corfu Sí, usar service_type=CBM_CORFU. En la versión 4.1.0, 825 días. A partir de la versión 4.1.1, 100 años.
GM-Cliente de Corfu El certificado de cliente Corfu solo está presente en Global Manager Sí, usar service_type=CBM_GM. 100 años
Informes de IDPS-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_IDPS_REPORTING. 100 años
Administrador de mensajería-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_MESSAGING_MANAGER. 100 años
Supervisión-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_MONITORING. 100 años
MP-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_MP. 100 años
Administrador de sitios-Cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_SITE_MANAGER 100 años
Coordinador de actualización del cliente de Corfu Certificado de cliente de Corfu Sí, usar service_type=CBM_UPGRADE_COORDINATOR. 100 años

Certificados para comunicación de NSX Federation

De forma predeterminada, el Global Manager utiliza certificados autofirmados para comunicarse con componentes internos, Local Managers registrados y para la autenticación de la interfaz de usuario o las API de NSX Manager.

Puede ver los certificados externos (interfaz de usuario/API) y entre sitios en NSX Manager. Los certificados internos no se pueden ver ni editar.

Nota: No habilite la VIP externa de Local Manager antes de registrar el Local Manager en el Global Manager. Cuando NSX Federation y PKS deben usarse en el mismo Local Manager, complete las tareas de PKS para crear una VIP externa y cambiar el certificado de Local Manager antes de registrar el Local Manager en Global Manager.

Certificados para Global Managers y Local Managers

Después de agregar un Local Manager al Global Manager, se establece una relación de confianza mediante el intercambio de certificados entre Local Manager y Global Manager. Estos certificados también se copian en cada uno de los sitios registrados con Global Manager. En NSX 4.1.0, el certificado utilizado para establecer la confianza con el Global Manager solo se genera cuando el Local Manager se registra en el Global Manager. El mismo certificado se elimina si el Local Manager sale del entorno de NSX Federation.

En la tabla Certificados para Global Managers y Local Managers puede consultar una lista de todos los certificados específicos de NSX Federation creados para cada dispositivo y los certificados que estos dispositivos intercambian entre sí:

Tabla 2. Certificados para Global Managers y Local Managers
Convención de nomenclatura en el Global Manager o el Local Manager Propósito ¿Reemplazable? Validez predeterminada
Los siguientes son certificados específicos de cada dispositivo de NSX Federation.
APH-AR certificate
  • Para el Global Manager y cada Local Manager.
  • Se utiliza para la comunicación entre sitios mediante el canal AR (canal Async-Replicator).
 Sí, usar service_type=APH. Consulte Reemplazar certificados. 10 años
GlobalManager
  • Para el Global Manager.
  • Certificado PI para el Global Manager.
 Sí, usar service_type=GLOBAL_MANAGER. Consulte Reemplazar certificados. 825 días
Cluster certificate
  • Para el Global Manager y cada Local Manager.
  • Se utiliza para la comunicación de la interfaz de usuario o la API con la VIP del Global Manager o del clúster de Local Manager.
Sí, usar service_type=MGMT_CLUSTER. Consulte Reemplazar certificados. 825 días
API certificate
  • Para el Global Manager y cada Local Manager.
  • Se utiliza para la comunicación de la interfaz de usuario/API con los nodos de Global Manager y Local Manager individuales para cada una de las ubicaciones que se agregan al Global Manager.
Sí, usar service_type=API. Consulte Reemplazar certificados. 825 días
LocalManager
  • A partir de NSX 4.1, se genera solo cuando los servidores de Local Manager se encuentran en el entorno de NSX Federation. El certificado se elimina si el Local Manager sale del entorno de NSX Federation.
  • Certificado PI para este Local Manager específico.
Sí, usar service_type=LOCAL_MANAGER. Consulte Reemplazar certificados. 825 días
El LM y el GM comparten sus certificados de clúster, API y APH-AR entre ellos. Si un certificado está firmado por una CA, la CA se sincronizará, pero ese certificado no.

Usuarios de identidad principal (PI) para NSX Federation

Después de agregar un Local Manager al Global Manager, se crean los siguientes usuarios de PI con las funciones correspondientes.
Tabla 3. Usuarios de identidad principal (PI) creados para NSX Federation
Dispositivo NSX Federation Nombre de usuario de PI Función de usuario de PI
Global Manager LocalManagerIdentity

Uno para cada Local Manager registrado con este Global Manager.

 Auditor
Local Manager GlobalManagerIdentity Administrador empresarial
LocalManagerIdentity
Uno para cada Local Manager registrado con el mismo Global Manager. Para obtener una lista de todos los usuarios de PI del Local Manager (no están visibles en la interfaz de usuario), introduzca el siguiente comando de API: 
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Auditor