Le système crée des certificats requis pour la communication entre les dispositifs NSX et la communication externe, y compris les dispositifs Fédération NSX.
Pour remplacer des certificats auto-signés existants par des certificats signés par une autorité de certification, reportez-vous aux détails dans Remplacer des certificats. Pour en savoir plus sur les événements de conformité de sécurité, reportez-vous au Catalogue d'événements NSX.
| Convention de dénomination des certificats | Objectif | Remplaçable à l'aide de service_type | Validité par défaut |
|---|---|---|---|
| APH-AR | Clé publique du serveur APH (Appliance Proxy Hub) et module de réplication asynchrone | Oui, utilisez service_type=APH. | 825 jours |
| APH-TN | Certificat APH (Appliance Proxy Hub) pour le nœud de transport (TN) et la communication intra-cluster | Oui, utilisez service_type=APH_TN. | 825 jours |
| API (alias Tomcat) | Certificat de serveur API pour le nœud NSX Manager | Oui, utilisez service_type=API. | 825 jours |
| Client API-Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_API. | 100 ans |
| Client AR-Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_AR. | 100 ans |
| Client CCP-Corfu | Certificat client Corfu du plan de configuration de contrôle | Oui, utilisez service_type=CBM_CCP. | 100 ans |
| Cluster (alias mp-cluster) | Certificat client Corfu | Oui, utilisez service_type=MGMT_CLUSTER. | 825 jours |
| Gestionnaire de cluster Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_CLUSTER_MANAGER. | 100 ans |
| Client Inventaire-Corfu CM | Certificat client Corfu | Oui, utilisez service_type=CBM_CM_INVENTORY. |
100 ans |
| Serveur Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_CORFU. | 100 ans |
| Rapports IDPS - Client Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_IDPS_REPORTING. | 100 ans |
| Gestionnaire de messagerie - Client Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_MESSAGING_MANAGER. | 100 ans |
| Surveillance - Client Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_MONITORING. | 100 ans |
| Client MP-Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_MP. | 100 ans |
| Gestionnaire de site- Client Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_SITE_MANAGER | 100 ans |
| Coordinateur de mise à niveau - Client Corfu | Certificat client Corfu | Oui, utilisez service_type=CBM_UPGRADE_COORDINATOR. | 100 ans |
Certificats pour la communication de Fédération NSX
Par défaut, le Gestionnaire global utilise des certificats auto-signés pour communiquer avec des composants internes, des Gestionnaire local enregistrés et pour l'authentification pour l'interface utilisateur ou des API NSX Manager.
Vous pouvez afficher les certificats externes (UI/API) et inter-sites dans NSX Manager. Les certificats internes ne sont pas visibles ou modifiables.
Certificats pour les Gestionnaire global et les Gestionnaire local
Une fois que vous avez ajouté un Gestionnaire local au Gestionnaire global, une approbation est établie en échangeant des certificats entre Gestionnaire local et Gestionnaire global. Ces certificats sont également copiés dans chacun des sites enregistrés dans le Gestionnaire global. À partir de NSX 4.1.0, le certificat utilisé pour établir une relation de confiance avec le Gestionnaire global est généré uniquement lorsque le Gestionnaire local s'enregistre dans le Gestionnaire global. Ce même certificat est supprimé si Gestionnaire local sort de l'environnement Fédération NSX.
Reportez-vous au tableau Certificats pour les gestionnaires globaux et les gestionnaires locaux pour obtenir la liste de tous les certificats spécifiques Fédération NSX créés pour chaque dispositif et les certificats que ces dispositifs échangent entre eux :
| Convention de nommage dans le Gestionnaire global ou le Gestionnaire local | Objectif | Remplaçable ? | Validité par défaut |
|---|---|---|---|
| Les certificats suivants sont spécifiques à chaque dispositif Fédération NSX. | |||
| APH-AR certificate |
|
Oui, utilisez service_type=APH. Reportez-vous à la section Remplacer des certificats. | 10 ans |
| GlobalManager |
|
Oui, utilisez service_type=GLOBAL_MANAGER. Consultez Remplacer des certificats. | 825 jours |
| Cluster certificate |
|
Oui, utilisez service_type=MGMT_CLUSTER. Consultez Remplacer des certificats. | 825 jours |
| API certificate |
|
Oui, utilisez service_type=API. Reportez-vous à la section Remplacer des certificats. | 825 jours |
| LocalManager |
|
Oui, utilisez service_type=LOCAL_MANAGER. Reportez-vous à la section Remplacer des certificats. | 825 jours |
| Le LM et le GM partagent leurs certificats de cluster, d'API et APH-AR entre eux. Si un certificat est signé par une autorité de certification, l'autorité de certification est synchronisée mais pas le certificat. | |||
Utilisateurs d'identité de principal (PI) pour Fédération NSX
| Dispositif Fédération NSX | Nom d'utilisateur PI | Rôle d'utilisateur PI |
|---|---|---|
| Gestionnaire global | LocalManagerIdentity Un pour chaque Gestionnaire local enregistré avec ce Gestionnaire global. |
Auditeur |
| Gestionnaire local | GlobalManagerIdentity | Administrateur d'entreprise |
| LocalManagerIdentity
Un pour chaque
Gestionnaire local enregistré avec le même
Gestionnaire global. Pour obtenir une liste de tous les utilisateurs PI
Gestionnaire local, car ils ne sont pas visibles dans l'interface utilisateur, entrez la commande API suivante :
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
Auditeur |
