Certificati per federazione di NSX

Il sistema crea i certificati necessari per la comunicazione tra le appliance di federazione di NSX, nonché per la comunicazione esterna.

Per impostazione predefinita, Global Manager utilizza certificati autofirmati per la comunicazione con i componenti interni e i Local Manager registrati, nonché per l'autenticazione per l'interfaccia utente o le API di NSX Manager.

È possibile visualizzare i certificati esterni (interfaccia utente/API) e tra siti in NSX Manager. I certificati interni non possono essere visualizzati o modificati.

Nota: L'abilitazione del VIP esterno di Local Manager non deve essere eseguita prima che un Local Manager sia registrato nel Global Manager. Quando è necessario utilizzare Federazione e PKS nello stesso Local Manager, le attività di PKS per creare un VIP esterno e modificare il certificato di Local Manager devono essere eseguite prima della registrazione di Local Manager su Global Manager.

Certificati per Global Manager e i Local Manager

Dopo aver aggiunto un Local Manager in Global Manager, tutti i certificati che eseguono l'autenticazione del Local Manager per le comunicazioni esterne e interne vengono copiati nel Global Manager e viene stabilita l'attendibilità tra i due sistemi. Questi certificati vengono copiati anche in ciascuno dei siti registrati in Global Manager.

Vedere la tabella seguente per un elenco di tutti i certificati creati per ogni appliance utilizzando federazione di NSX e dei certificati che queste appliance si scambiano tra loro:

Tabella 1. Certificati per Global Manager e Local Manager
Convenzione di denominazione nel Global Manager o Local Manager	Scopo	Sostituibile?	Validità predefinita
I certificati seguenti sono specifici di ogni appliance di federazione di NSX.
APH-AR certificate	Per il Global Manager e ogni Local Manager. Utilizzato per la comunicazione tra siti tramite il canale AR (canale Async-Replicator).	Sì. Vedere Sostituzione di certificati.	10 anni
GlobalManager	Per il Global Manager. Certificato PI per il Global Manager.	Sì. Vedere Sostituzione di certificati.	825 giorni
mp-cluster certificate	Per il Global Manager e ogni Local Manager. Utilizzato per la comunicazione dell'interfaccia utente/API con il VIP del cluster del Global Manager o Local Manager.
tomcat certificate	Per il Global Manager e ogni Local Manager. Utilizzato per la comunicazione dell'interfaccia utente/API con i singoli nodi Global Manager e Local Manager e per ciascuna posizione aggiunta in Global Manager.
LocalManager	Per Local Manager. Certificato PI per questo Local Manager specifico.
I seguenti certificati vengono scambiati tra le appliance di federazione di NSX.
Convenzione di denominazione in Global Manager o Local Manager	Scopo	Sostituibile?	Validità predefinita
Codice con hash, ad esempio 1729f966-67b7-4c17-bdf5-325affb79f4f	Scambiato tra tutti i Local Manager registrati in Global Manager. Certificato PI per il Global Manager scambiato con i Local Manager. Certificati PI per ciascuna delle posizioni scambiati con tutti i Location Manager registrati.	Non applicabile
Site certificate CN=<>,O	Scambiato tra tutte le appliance di federazione di NSX: tutti i Local Manager registrati e il Global Manager. Tutti i tipi di certificati.	Non applicabile

Utenti PI (Principal Identity) per federazione di NSX

I seguenti utenti PI con i ruoli corrispondenti vengono creati dopo l'aggiunta di un Local Manager in Global Manager:

Tabella 2. Utenti PI (Principal Identity) creati per federazione di NSX
Appliance di federazione di NSX	Nome utente PI	Ruolo utente PI
Global Manager	LocalManagerIdentity Uno per ogni Local Manager registrato in questo Global Manager.	revisore
Local Manager	GlobalManagerIdentity	Amministratore aziendale
Local Manager	LocalManagerIdentity Uno per ogni Local Manager registrato nello stesso Global Manager. Utilizzare l'API seguente per ottenere un elenco di tutti gli utenti PI di Local Manager perché non sono visibili nell'interfaccia utente: GET https://<local-mgr>/api/v1/trust-management/principal-identities	revisore