Il sistema crea i certificati necessari per la comunicazione tra le appliance di NSX e le comunicazioni esterne, incluse le appliance federazione di NSX.
Per sostituire i certificati autofirmati esistenti con certificati firmati dalla CA, fare riferimento ai dettagli in Sostituzione di certificati. Per ulteriori informazioni sugli eventi di conformità della sicurezza, fare riferimento a Catalogo eventi NSX.
| Convenzione di denominazione dei certificati | Scopo | Sostituibile utilizzando service_type | Validità predefinita |
|---|---|---|---|
| APH-AR | Chiave pubblica del server APH (Appliance Proxy Hub) e replicatore asincrono | Sì, utilizzare service_type=APH. | 825 giorni |
| APH-TN | Certificato APH (Appliance Proxy Hub) per la comunicazione all'interno del cluster e del nodo di trasporto (TN) | Sì, utilizzare service_type=APH_TN. | 825 giorni |
| API (ovvero tomcat) | Certificato del server API per il nodo NSX Manager | Sì, utilizzare service_type=API. | 825 giorni |
| API - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_API. | 100 anni |
| AR - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_AR. | 100 anni |
| CCP - Client Corfu | Certificato client Corfu del piano di configurazione di controllo | Sì, utilizzare service_type=CBM_CCP. | 100 anni |
| Cluster (ovvero mp-cluster) | Certificato client Corfu | Sì, utilizzare service_type=MGMT_CLUSTER. | 825 giorni |
| Gestore cluster - Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_CLUSTER_MANAGER. | 100 anni |
| Inventario CM - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_CM_INVENTORY. |
100 anni |
| Server Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_CORFU. | 100 anni |
| Report IDPS - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_IDPS_REPORTING. | 100 anni |
| Gestore messaggistica - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_MESSAGING_MANAGER. | 100 anni |
| Monitoraggio - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_MONITORING. | 100 anni |
| MP - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_MP. | 100 anni |
| Gestore sito - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_SITE_MANAGER | 100 anni |
| Coordinatore aggiornamento - Client Corfu | Certificato client Corfu | Sì, utilizzare service_type=CBM_UPGRADE_COORDINATOR. | 100 anni |
Certificati per la comunicazione federazione di NSX
Per impostazione predefinita, Global Manager utilizza certificati autofirmati per la comunicazione con componenti interni, Local Manager registrati e per l'autenticazione per l'interfaccia utente o le API di NSX Manager.
È possibile visualizzare i certificati esterni (interfaccia utente/API) e tra siti in NSX Manager. I certificati interni non possono essere visualizzati o modificati.
Certificati per Global Manager e Local Manager
Dopo aver aggiunto un Local Manager nel Global Manager, viene stabilita una relazione di attendibilità scambiando certificati tra Local Manager e Global Manager. Questi certificati vengono copiati anche in ciascuno dei siti registrati in Global Manager. A partire da NSX 4.1.0, il certificato utilizzato per stabilire l'attendibilità con il Global Manager viene generato solo quando il Local Manager viene registrato con il Global Manager. Lo stesso certificato viene eliminato se Local Manager esce dall'ambiente federazione di NSX.
Vedere la tabella Certificati per Global Manager e Local Manager per un elenco di tutti i certificati specifici di federazione di NSX creati per ogni appliance e dei certificati che queste appliance si scambiano tra loro:
| Convenzione di denominazione nel Global Manager o Local Manager | Scopo | Sostituibile? | Validità predefinita |
|---|---|---|---|
| I certificati seguenti sono specifici di ogni appliance di federazione di NSX. | |||
| APH-AR certificate |
|
Sì, utilizzare service_type=APH. Vedere Sostituzione di certificati. | 10 anni |
| GlobalManager |
|
Sì, utilizzare service_type=GLOBAL_MANAGER. Fare riferimento a Sostituzione di certificati. | 825 giorni |
| Cluster certificate |
|
Sì, utilizzare service_type=MGMT_CLUSTER. Fare riferimento a Sostituzione di certificati. | 825 giorni |
| API certificate |
|
Sì, utilizzare service_type=API. Vedere Sostituzione di certificati. | 825 giorni |
| LocalManager |
|
Sì, utilizzare service_type=LOCAL_MANAGER. Vedere Sostituzione di certificati. | 825 giorni |
| LM e GM condividono i propri certificati Cluster, API e APH-AR. Se un certificato è firmato dall'autorità di certificazione, quest'ultima viene sincronizzata mentre il certificato non viene sincronizzato. | |||
Utenti PI (Principal Identity) per federazione di NSX
| Appliance di federazione di NSX | Nome utente PI | Ruolo utente PI |
|---|---|---|
| Global Manager | LocalManagerIdentity Uno per ogni Local Manager registrato in questo Global Manager. |
Revisore |
| Local Manager | GlobalManagerIdentity | Amministratore aziendale |
| LocalManagerIdentity
Uno per ogni
Local Manager registrato nello stesso
Global Manager. Per ottenere l'elenco di tutti gli utenti PI
Local Manager perché non sono visibili nell'interfaccia utente, immettere il seguente comando API:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
Revisore |
