Le système crée des certificats requis pour la communication entre les dispositifs NSX et la communication externe, y compris les dispositifs NSX Federation. Cette rubrique couvre les différentes informations de certificat
Le tableau Certificats pour NSX Manager reflète les détails des certificats, y compris la période pendant laquelle les certificats sont valides uniquement pour les nouveaux déploiements. Les nouveaux certificats ne sont pas générés pendant les mises à niveau. Par conséquent, les dates de validité des certificats reflètent la date d'expiration par défaut d'une version de NSX précédente. Pour remplacer des certificats auto-signés existants par des certificats signés par une autorité de certification, reportez-vous aux détails dans Remplacer les certificats via l'API. Pour en savoir plus sur les événements de conformité de sécurité, reportez-vous au Catalogue d'événements NSX.
Convention de dénomination des certificats | Objectif | Remplaçable à l'aide de service_type | Validité par défaut |
---|---|---|---|
APH (alias APH_AR) | Clé publique du serveur APH (Appliance Proxy Hub) et réplicateur asynchrone pour la communication croisée, pour la fédération | Oui, utilisez service_type=APH. | 825 jours |
APH_TN | Certificat APH (Appliance Proxy Hub) pour le nœud de transport (TN) et la communication intra-cluster | Oui, utilisez service_type=APH_TN. | 825 jours |
API | Certificat de serveur API pour le nœud NSX Manager | Oui, utilisez service_type=API. | 825 jours |
CCP | Certificat du plan de configuration de contrôle pour communiquer avec les nœuds de transport | Oui, utilisez service_type=CCP. | 10 ans |
MGMT_CLUSTER (alias VIP) | Certificat de serveur API utilisé par l'adresse IP virtuelle | Oui, utilisez service_type=MGMT_CLUSTER. | 825 jours |
CBM_CLUSTER_MANAGER | Certificat client Corfu | Oui, utilisez service_type=CBM_CLUSTER_MANAGER. | 100 ans |
CBM_CORFU | Certificat serveur Corfu | Oui, utilisez service_type=CBM_CORFU. | Dans 4.1.0, 825 jours. À partir de 4.1.1, 100 ans. |
Certificats pour la communication de NSX Federation
Par défaut, le Gestionnaire global utilise des certificats auto-signés pour communiquer avec des composants internes, des Gestionnaire local enregistrés et pour l'authentification pour l'interface utilisateur ou des API NSX Manager.
Vous pouvez afficher les certificats externes (UI/API) et inter-sites dans NSX Manager. Les certificats internes ne sont pas visibles ou modifiables.
Certificats pour les Gestionnaire global et les Gestionnaire local
Une fois que vous avez ajouté un Gestionnaire local au Gestionnaire global, une approbation est établie en échangeant des certificats entre Gestionnaire local et Gestionnaire global. Ces certificats sont également copiés dans chacun des sites enregistrés dans le Gestionnaire global. À partir de NSX 4.1.0, le certificat utilisé pour établir une relation de confiance avec le Gestionnaire global est généré uniquement lorsque le Gestionnaire local s'enregistre dans le Gestionnaire global. Ce même certificat est supprimé si Gestionnaire local sort de l'environnement NSX Federation.
Reportez-vous au tableau Certificats pour les gestionnaires globaux et les gestionnaires locaux pour obtenir la liste de tous les certificats spécifiques NSX Federation créés pour chaque dispositif et les certificats que ces dispositifs échangent entre eux :
Convention de nommage dans le Gestionnaire global ou le Gestionnaire local | Objectif | Remplaçable ? | Validité par défaut |
---|---|---|---|
Les certificats suivants sont spécifiques à chaque dispositif NSX Federation. | |||
APH-AR certificate |
|
Oui, utilisez service_type=APH. Reportez-vous à la section Remplacer les certificats via l'API. | 10 ans |
GlobalManager |
|
Oui, utilisez service_type=GLOBAL_MANAGER. Consultez Remplacer les certificats via l'API. | 825 jours |
Cluster certificate |
|
Oui, utilisez service_type=MGMT_CLUSTER. Consultez Remplacer les certificats via l'API. | 825 jours |
API certificate |
|
Oui, utilisez service_type=API. Reportez-vous à la section Remplacer les certificats via l'API. | 825 jours |
LocalManager |
|
Oui, utilisez service_type=LOCAL_MANAGER. Reportez-vous à la section Remplacer les certificats via l'API. | 825 jours |
Le LM et le GM partagent leurs certificats de cluster, d'API et APH-AR entre eux. Si un certificat est signé par une autorité de certification, l'autorité de certification est synchronisée mais pas le certificat. |
Utilisateurs d'identité de principal (PI) pour NSX Federation
Dispositif NSX Federation | Nom d'utilisateur PI | Rôle d'utilisateur PI |
---|---|---|
Gestionnaire global | LocalManagerIdentity Un pour chaque Gestionnaire local enregistré avec ce Gestionnaire global. |
Auditeur |
Gestionnaire local | GlobalManagerIdentity | Administrateur d'entreprise |
LocalManagerIdentity
Un pour chaque
Gestionnaire local enregistré avec le même
Gestionnaire global. Pour obtenir une liste de tous les utilisateurs PI
Gestionnaire local, car ils ne sont pas visibles dans l'interface utilisateur, entrez la commande API suivante :
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
Auditeur |