Il sistema crea i certificati necessari per la comunicazione tra le appliance di federazione di NSX, nonché per la comunicazione esterna.

Per impostazione predefinita, Global Manager utilizza certificati autofirmati per la comunicazione con i componenti interni e i Local Manager registrati, nonché per l'autenticazione per l'interfaccia utente o le API di NSX Manager.

È possibile visualizzare i certificati esterni (interfaccia utente/API) e tra siti in NSX Manager. I certificati interni non possono essere visualizzati o modificati.

Nota: Non abilitare il VIP esterno di Local Manager prima di registrare Local Manager in Global Manager. Quando è necessario utilizzare federazione di NSX e PKS nello stesso Local Manager, completare le attività di PKS per creare un VIP esterno e modificare il certificato di Local Manager prima di registrare Local Manager in Global Manager.

Certificati per Global Manager e i Local Manager

Dopo aver aggiunto un Local Manager in Global Manager, tutti i certificati che eseguono l'autenticazione del Local Manager per le comunicazioni esterne e interne vengono copiati nel Global Manager e viene stabilita l'attendibilità tra i due sistemi. Questi certificati vengono copiati anche in ciascuno dei siti registrati in Global Manager.

Vedere la tabella seguente per un elenco di tutti i certificati creati per ogni appliance utilizzando federazione di NSX e dei certificati che queste appliance si scambiano tra loro:

Tabella 1. Certificati per Global Manager e Local Manager
Convenzione di denominazione nel Global Manager o Local Manager Scopo Sostituibile? Validità predefinita
I certificati seguenti sono specifici di ogni appliance di federazione di NSX.
APH-AR certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione tra siti tramite il canale AR (canale Async-Replicator).
Sì. Vedere Sostituzione di certificati. 10 anni
GlobalManager
  • Per il Global Manager.
  • Certificato PI per il Global Manager.
Sì. Vedere Sostituzione di certificati. 825 giorni
mp-cluster certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione dell'interfaccia utente/API con il VIP del cluster del Global Manager o Local Manager.
tomcat certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione dell'interfaccia utente/API con i singoli nodi Global Manager e Local Manager e per ciascuna posizione aggiunta in Global Manager.
LocalManager
  • Per Local Manager.
  • Certificato PI per questo Local Manager specifico.
I seguenti certificati vengono scambiati tra le appliance di federazione di NSX.
Convenzione di denominazione in Global Manager o Local Manager Scopo Sostituibile? Validità predefinita
Codice con hash, ad esempio 1729f966-67b7-4c17-bdf5-325affb79f4f
  • Scambiato tra tutti i Local Manager registrati in Global Manager.
  • Certificato PI per il Global Manager scambiato con i Local Manager.
  • Certificati PI per ciascuna delle posizioni scambiati con tutti i Location Manager registrati.

Non applicabile

Site certificate CN=<>,O
  • Scambiato tra tutte le appliance di federazione di NSX: tutti i Local Manager registrati e il Global Manager.
  • Tutti i tipi di certificati.

Utenti PI (Principal Identity) per federazione di NSX

I seguenti utenti PI con i ruoli corrispondenti vengono creati dopo l'aggiunta di un Local Manager in Global Manager:
Tabella 2. Utenti PI (Principal Identity) creati per federazione di NSX
Appliance di federazione di NSX Nome utente PI Ruolo utente PI
Global Manager LocalManagerIdentity

Uno per ogni Local Manager registrato in questo Global Manager.

revisore
Local Manager GlobalManagerIdentity Amministratore aziendale
LocalManagerIdentity
Uno per ogni Local Manager registrato nello stesso Global Manager. Utilizzare l'API seguente per ottenere un elenco di tutti gli utenti PI di Local Manager perché non sono visibili nell'interfaccia utente:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
revisore