Le système crée des certificats requis pour la communication entre les dispositifs NSX Federation et pour la communication externe.
Par défaut, le gestionnaire global utilise des certificats auto-signés pour communiquer avec des composants internes et des gestionnaires locaux enregistrés, ainsi que pour l'authentification pour l'interface utilisateur de NSX Manager ou des API.
Vous pouvez afficher les certificats externes (UI/API) et inter-sites dans NSX Manager. Les certificats internes ne sont pas visibles ou modifiables.
Certificats du gestionnaire global et des gestionnaires locaux
Une fois que vous avez ajouté un gestionnaire local au gestionnaire global, tous les certificats qui authentifient le gestionnaire local pour les communications externes et internes sont copiés dans le gestionnaire global et la relation de confiance est établie entre les deux systèmes. Ces certificats sont également copiés dans chacun des sites enregistrés dans le gestionnaire global.
Reportez-vous au tableau suivant pour obtenir la liste de tous les certificats créés pour chaque dispositif à l'aide de NSX Federation et des certificats que ces dispositifs échangent entre eux :
Convention de dénomination dans le gestionnaire global ou le gestionnaire local | Objectif | Remplaçable ? | Validité par défaut |
---|---|---|---|
Les certificats suivants sont spécifiques à chaque dispositif NSX Federation. | |||
APH-AR certificate |
|
Non | 10 ans |
GlobalManager |
|
Oui. Reportez-vous à la section Remplacer des certificats. | 825 jours |
mp-cluster certificate |
|
||
tomcat certificate |
|
||
LocalManager |
|
||
Les certificats échangés entre les dispositifs NSX Federation sont les suivants. | |||
Convention de dénomination dans le gestionnaire global ou le gestionnaire local | Objectif | Remplaçable ? | Validité par défaut |
Code haché, par exemple, 1729f966-67b7-4c17-bdf5-325affb79f4f |
|
Non applicable |
|
Site certificate CN=<>,O |
|
Utilisateurs d'identité de principal (PI) pour NSX Federation
Dispositif NSX Federation | Nom d'utilisateur PI | Rôle d'utilisateur PI |
---|---|---|
Gestionnaire global | LocalManagerIdentity Un pour chaque gestionnaire local enregistré avec ce gestionnaire global. |
auditeur |
Gestionnaire local | GlobalManagerIdentity | Administrateur d'entreprise |
LocalManagerIdentity
Un pour chaque gestionnaire local enregistré avec le même gestionnaire global. Utilisez l'API suivante pour obtenir une liste de tous les utilisateurs de PI de gestionnaire local, car ils ne sont pas visibles dans l'interface utilisateur :
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
auditeur |