Il sistema crea i certificati necessari per la comunicazione tra le appliance di NSX e le comunicazioni esterne, incluse le appliance federazione di NSX.

Per sostituire i certificati autofirmati esistenti con certificati firmati dalla CA, fare riferimento ai dettagli in Sostituzione di certificati. Per ulteriori informazioni sugli eventi di conformità della sicurezza, fare riferimento a Catalogo eventi NSX.

Tabella 1. Certificati per NSX Manager
Convenzione di denominazione dei certificati Scopo Sostituibile utilizzando service_type Validità predefinita
APH-AR Chiave pubblica del server APH (Appliance Proxy Hub) e replicatore asincrono Sì, utilizzare service_type=APH. 825 giorni
APH-TN Certificato APH (Appliance Proxy Hub) per la comunicazione all'interno del cluster e del nodo di trasporto (TN) Sì, utilizzare service_type=APH_TN. 825 giorni
API (ovvero tomcat) Certificato del server API per il nodo NSX Manager Sì, utilizzare service_type=API. 825 giorni
API - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_API. 100 anni
AR - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_AR. 100 anni
CCP - Client Corfu Certificato client Corfu del piano di configurazione di controllo Sì, utilizzare service_type=CBM_CCP. 100 anni
Cluster (ovvero mp-cluster) Certificato client Corfu Sì, utilizzare service_type=MGMT_CLUSTER. 825 giorni
Gestore cluster - Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_CLUSTER_MANAGER. 100 anni
Inventario CM - Client Corfu Certificato client Corfu

Sì, utilizzare service_type=CBM_CM_INVENTORY.

100 anni
Server Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_CORFU. 100 anni
Report IDPS - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_IDPS_REPORTING. 100 anni
Gestore messaggistica - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_MESSAGING_MANAGER. 100 anni
Monitoraggio - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_MONITORING. 100 anni
MP - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_MP. 100 anni
Gestore sito - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_SITE_MANAGER 100 anni
Coordinatore aggiornamento - Client Corfu Certificato client Corfu Sì, utilizzare service_type=CBM_UPGRADE_COORDINATOR. 100 anni

Certificati per la comunicazione federazione di NSX

Per impostazione predefinita, Global Manager utilizza certificati autofirmati per la comunicazione con componenti interni, Local Manager registrati e per l'autenticazione per l'interfaccia utente o le API di NSX Manager.

È possibile visualizzare i certificati esterni (interfaccia utente/API) e tra siti in NSX Manager. I certificati interni non possono essere visualizzati o modificati.

Nota: Non abilitare il VIP esterno di Local Manager prima di registrare Local Manager in Global Manager. Quando è necessario utilizzare federazione di NSX e PKS nello stesso Local Manager, completare le attività di PKS per creare un VIP esterno e modificare il certificato di Local Manager prima di registrare Local Manager in Global Manager.

Certificati per Global Manager e Local Manager

Dopo aver aggiunto un Local Manager nel Global Manager, viene stabilita una relazione di attendibilità scambiando certificati tra Local Manager e Global Manager. Questi certificati vengono copiati anche in ciascuno dei siti registrati in Global Manager. A partire da NSX 4.1.0, il certificato utilizzato per stabilire l'attendibilità con il Global Manager viene generato solo quando il Local Manager viene registrato con il Global Manager. Lo stesso certificato viene eliminato se Local Manager esce dall'ambiente federazione di NSX.

Vedere la tabella Certificati per Global Manager e Local Manager per un elenco di tutti i certificati specifici di federazione di NSX creati per ogni appliance e dei certificati che queste appliance si scambiano tra loro:

Tabella 2. Certificati per Global Manager e Local Manager
Convenzione di denominazione nel Global Manager o Local Manager Scopo Sostituibile? Validità predefinita
I certificati seguenti sono specifici di ogni appliance di federazione di NSX.
APH-AR certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione tra siti tramite il canale AR (canale Async-Replicator).
Sì, utilizzare service_type=APH. Vedere Sostituzione di certificati. 10 anni
GlobalManager
  • Per il Global Manager.
  • Certificato PI per il Global Manager.
Sì, utilizzare service_type=GLOBAL_MANAGER. Fare riferimento a Sostituzione di certificati. 825 giorni
Cluster certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione dell'interfaccia utente/API con il VIP del cluster del Global Manager o Local Manager.
Sì, utilizzare service_type=MGMT_CLUSTER. Fare riferimento a Sostituzione di certificati. 825 giorni
API certificate
  • Per il Global Manager e ogni Local Manager.
  • Utilizzato per la comunicazione dell'interfaccia utente/API con i singoli nodi Global Manager e Local Manager e per ciascuna posizione aggiunta al Global Manager.
Sì, utilizzare service_type=API. Vedere Sostituzione di certificati. 825 giorni
LocalManager
  • A partire da NSX 4.1, viene generato solo quando i server Local Manager si trovano nell'ambiente federazione di NSX. Il certificato viene eliminato se Local Manager esce dall'ambiente federazione di NSX.
  • Certificato PI per questo Local Manager specifico.
Sì, utilizzare service_type=LOCAL_MANAGER. Vedere Sostituzione di certificati. 825 giorni
LM e GM condividono i propri certificati Cluster, API e APH-AR. Se un certificato è firmato dall'autorità di certificazione, quest'ultima viene sincronizzata mentre il certificato non viene sincronizzato.

Utenti PI (Principal Identity) per federazione di NSX

Dopo aver aggiunto un Local Manager al Global Manager, vengono creati i seguenti utenti PI con i ruoli corrispondenti.
Tabella 3. Utenti PI (Principal Identity) creati per federazione di NSX
Appliance di federazione di NSX Nome utente PI Ruolo utente PI
Global Manager LocalManagerIdentity

Uno per ogni Local Manager registrato in questo Global Manager.

Revisore
Local Manager GlobalManagerIdentity Amministratore aziendale
LocalManagerIdentity
Uno per ogni Local Manager registrato nello stesso Global Manager. Per ottenere l'elenco di tutti gli utenti PI Local Manager perché non sono visibili nell'interfaccia utente, immettere il seguente comando API:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
Revisore