Certificats pour NSX Federation

Le système crée des certificats requis pour la communication entre les dispositifs NSX Federation et pour la communication externe.

Par défaut, le gestionnaire global utilise des certificats auto-signés pour communiquer avec des composants internes et des gestionnaires locaux enregistrés, ainsi que pour l'authentification pour l'interface utilisateur de NSX Manager ou des API.

Vous pouvez afficher les certificats externes (UI/API) et inter-sites dans NSX Manager. Les certificats internes ne sont pas visibles ou modifiables.

Certificats du gestionnaire global et des gestionnaires locaux

Une fois que vous avez ajouté un gestionnaire local au gestionnaire global, tous les certificats qui authentifient le gestionnaire local pour les communications externes et internes sont copiés dans le gestionnaire global et la relation de confiance est établie entre les deux systèmes. Ces certificats sont également copiés dans chacun des sites enregistrés dans le gestionnaire global.

Reportez-vous au tableau suivant pour obtenir la liste de tous les certificats créés pour chaque dispositif à l'aide de NSX Federation et des certificats que ces dispositifs échangent entre eux :

Tableau 1. Certificats du gestionnaire global et des gestionnaires locaux
Convention de dénomination dans le gestionnaire global ou le gestionnaire local	Objectif	Remplaçable ?	Validité par défaut
Les certificats suivants sont spécifiques à chaque dispositif NSX Federation.
APH-AR certificate	Pour le gestionnaire global et chaque gestionnaire local. Utilisé pour la communication inter-sites à l'aide du canal AR (canal asynchrone-réplicateur).	Non	10 ans
GlobalManager	Pour le gestionnaire global. Certificat PI pour le gestionnaire global.	Oui. Reportez-vous à la section Remplacer des certificats.	825 jours
mp-cluster certificate	Pour le gestionnaire global et chaque gestionnaire local. Utilisé pour la communication avec l'interface utilisateur/API avec l'adresse IP virtuelle du gestionnaire global ou du cluster de gestionnaire local.
tomcat certificate	Pour le gestionnaire global et chaque gestionnaire local. Utilisé pour la communication avec l'interface utilisateur/API avec des nœuds de gestionnaire global et local individuels pour chacun des emplacements ajoutés au gestionnaire global.
LocalManager	Pour le gestionnaire local. Certificat PI pour ce gestionnaire local spécifique.
Les certificats échangés entre les dispositifs NSX Federation sont les suivants.
Convention de dénomination dans le gestionnaire global ou le gestionnaire local	Objectif	Remplaçable ?	Validité par défaut
Code haché, par exemple, 1729f966-67b7-4c17-bdf5-325affb79f4f	Échangé entre tous les gestionnaires locaux enregistrés auprès du gestionnaire global. Le certificat PI du gestionnaire global est échangé avec les gestionnaires locaux. Les certificats PI pour chacun des emplacements échangés avec tous les gestionnaires d'emplacement enregistrés.	Non applicable
Site certificate CN=<>,O	Échangé entre tous les dispositifs NSX Federation : tous les gestionnaires locaux enregistrés et le gestionnaire global. Tous les types de certificats.	Non applicable

Utilisateurs d'identité de principal (PI) pour NSX Federation

Les utilisateurs d'identité de principal (PI) suivants avec les rôles correspondants sont créés après l'ajout d'un gestionnaire local au gestionnaire global :

Tableau 2. Utilisateurs d'identité de principal (PI) créés pour NSX Federation
Dispositif NSX Federation	Nom d'utilisateur PI	Rôle d'utilisateur PI
Gestionnaire global	LocalManagerIdentity Un pour chaque gestionnaire local enregistré avec ce gestionnaire global.	auditeur
Gestionnaire local	GlobalManagerIdentity	Administrateur d'entreprise
Gestionnaire local	LocalManagerIdentity Un pour chaque gestionnaire local enregistré avec le même gestionnaire global. Utilisez l'API suivante pour obtenir une liste de tous les utilisateurs de PI de gestionnaire local, car ils ne sont pas visibles dans l'interface utilisateur : GET https://<local-mgr>/api/v1/trust-management/principal-identities	auditeur