NSX フェデレーション アプライアンス間の通信と外部通信に必要な証明書は、システムによって生成されます。
デフォルトでは、グローバル マネージャは、内部コンポーネントと登録済みのローカル マネージャと間の通信に自己署名証明書を使用します。この証明書は、NSX Manager のユーザー インターフェイスまたは API の認証でも使用されます。
外部通信 (ユーザー インターフェイス/API) とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。
グローバル マネージャとローカル マネージャの証明書
ローカル マネージャをグローバル マネージャに追加すると、外部および内部の通信でローカル マネージャの認証に使用される証明書がグローバル マネージャにコピーされ、2 つのシステム間で信頼関係が確立されます。これらの証明書は、グローバル マネージャに登録済みの各サイトにもコピーされます。
NSX フェデレーション を使用して各アプライアンスに作成された証明書と、これらのアプライアンス間で交換される証明書のリストについては、次の表を参照してください。
| グローバル マネージャまたはローカル マネージャでの命名規則 | 目的 | 交換可能か。 | デフォルトの有効期限 |
|---|---|---|---|
| [各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。] | |||
| APH-AR certificate |
|
× | 10 年 |
| GlobalManager |
|
はい。証明書の置き換え を参照してください。 | 825 日 |
| mp-cluster certificate |
|
||
| tomcat certificate |
|
||
| LocalManager |
|
||
| []NSX フェデレーション[ アプライアンス間で交換される証明書は次のとおりです。] | |||
| [グローバル マネージャまたはローカル マネージャでの命名規則] | [目的] | [交換可能か。] | [デフォルトの有効期限] |
| ハッシュコード(例: 1729f966-67b7-4c17-bdf5-325affb79f4f) |
|
該当なし |
|
| Site certificate CN=<>,O |
|
||
NSX フェデレーション のプリンシパル ID (PI) ユーザー
ローカル マネージャをグローバル マネージャに追加すると、次の PI ユーザーが作成され、対応するロールが付与されます。
| NSX フェデレーション アプライアンス | PI ユーザー名 | PI ユーザー ロール |
|---|---|---|
| グローバル マネージャ | LocalManagerIdentity このグローバル マネージャに登録されているローカル マネージャごとに 1 つ。 |
監査者 |
| ローカル マネージャ | GlobalManagerIdentity | エンタープライズ管理者 |
| LocalManagerIdentity
同じグローバル マネージャに登録されているローカル マネージャごとに 1 つ。ユーザー インターフェイスには表示されないため、ローカル マネージャ PI ユーザーのリストを取得するには、次の API を使用します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
監査者 |
