El sistema crea los certificados necesarios para la comunicación entre los dispositivos de NSX y la comunicación externa, incluidos los dispositivos de Federación de NSX. Este tema incluye información de diversos certificados
La tabla Certificados para NSX Manager indica los detalles del certificado, incluido el tiempo que los certificados son válidos solo para nuevas implementaciones. Los nuevos certificados no se generan durante las actualizaciones, por lo que las fechas de validez de los certificados reflejarán la fecha de caducidad predeterminada del certificado de una versión de NSX anterior. Para reemplazar los certificados autofirmados existentes por certificados firmados por una CA, consulte los detalles en Reemplazar certificados a través de API. Para obtener más información sobre los eventos de conformidad de seguridad, consulte el Catálogo de eventos de NSX.
Convención de nomenclatura de certificados | Propósito | Reemplazable mediante service_type | Validez predeterminada |
---|---|---|---|
APH (APH_AR) | Clave pública de servidor APH (Appliance Proxy Hub) y replicador asincrónico para comunicación cruzada, para Federation | Sí, usar service_type=APH. | 825 días |
APH_TN | Certificado APH (hub de proxy de dispositivo) para la comunicación dentro del clúster y el nodo de transporte (TN) | Sí, usar service_type=APH_TN. | 825 días |
API | Certificado de servidor de API para el nodo de NSX Manager | Sí, usar service_type=API. | 825 días |
CCP | Certificado del plano de configuración de control para comunicación con los nodos de transporte | Sí, usar service_type=CCP. | 10 años |
MGMT_CLUSTER (VIP) | Certificado del servidor API utilizado por VIP | Sí, usar service_type=MGMT_CLUSTER. | 825 días |
CBM_CLUSTER_MANAGER | Certificado de cliente de Corfu | Sí, usar service_type=CBM_CLUSTER_MANAGER. | 100 años |
CBM_CORFU | Certificado de servidor de Corfu | Sí, usar service_type=CBM_CORFU. | En la versión 4.1.0, 825 días. A partir de la versión 4.1.1, 100 años. |
Certificados para comunicación de Federación de NSX
De forma predeterminada, el Administrador global utiliza certificados autofirmados para comunicarse con componentes internos, Administrador locals registrados y para la autenticación de la interfaz de usuario o las API de NSX Manager.
Puede ver los certificados externos (interfaz de usuario/API) y entre sitios en NSX Manager. Los certificados internos no se pueden ver ni editar.
Certificados para Administrador globals y Administrador locals
Después de agregar un Administrador local al Administrador global, se establece una relación de confianza mediante el intercambio de certificados entre Administrador local y Administrador global. Estos certificados también se copian en cada uno de los sitios registrados con Administrador global. En NSX 4.1.0, el certificado utilizado para establecer la confianza con el Administrador global solo se genera cuando el Administrador local se registra en el Administrador global. El mismo certificado se elimina si el Administrador local sale del entorno de Federación de NSX.
En la tabla Certificados para Global Managers y Local Managers puede consultar una lista de todos los certificados específicos de Federación de NSX creados para cada dispositivo y los certificados que estos dispositivos intercambian entre sí:
Convención de nomenclatura en el Administrador global o el Administrador local | Propósito | ¿Reemplazable? | Validez predeterminada |
---|---|---|---|
Los siguientes son certificados específicos de cada dispositivo de Federación de NSX. | |||
APH-AR certificate |
|
Sí, usar service_type=APH. Consulte Reemplazar certificados a través de API. | 10 años |
GlobalManager |
|
Sí, usar service_type=GLOBAL_MANAGER. Consulte Reemplazar certificados a través de API. | 825 días |
Cluster certificate |
|
Sí, usar service_type=MGMT_CLUSTER. Consulte Reemplazar certificados a través de API. | 825 días |
API certificate |
|
Sí, usar service_type=API. Consulte Reemplazar certificados a través de API. | 825 días |
LocalManager |
|
Sí, usar service_type=LOCAL_MANAGER. Consulte Reemplazar certificados a través de API. | 825 días |
El LM y el GM comparten sus certificados de clúster, API y APH-AR entre ellos. Si un certificado está firmado por una CA, la CA se sincronizará, pero ese certificado no. |
Usuarios de identidad principal (PI) para Federación de NSX
Dispositivo Federación de NSX | Nombre de usuario de PI | Función de usuario de PI |
---|---|---|
Global Manager | LocalManagerIdentity Uno para cada Administrador local registrado con este Administrador global. |
Auditor |
Administrador local | GlobalManagerIdentity | Administrador empresarial |
LocalManagerIdentity
Uno para cada
Administrador local registrado con el mismo
Administrador global. Para obtener una lista de todos los usuarios de PI del
Administrador local (no están visibles en la interfaz de usuario), introduzca el siguiente comando de API:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
Auditor |