フェデレーション アプライアンス間の通信と外部通信に必要な証明書は、システムによって生成されます。

デフォルトでは、グローバル マネージャは、内部コンポーネントと登録済みのローカル マネージャと間の通信に自己署名証明書を使用します。この証明書は、NSX Manager の UI または API の認証でも使用されます。

外部通信 (UI/API) とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。

フェデレーションのプリンシパル ID (PI) ユーザー

ローカル マネージャをグローバル マネージャに追加すると、次の PI ユーザーが作成され、対応するロールが付与されます。
表 1. フェデレーション用に作成されるプリンシパル ID (PI) ユーザー
フェデレーション アプライアンス PI ユーザー名 PI ユーザー ロール
グローバル マネージャ LocalManagerIdentity

このグローバル マネージャに登録されているローカル マネージャごとに 1 つ。

監査者
ローカル マネージャ GlobalManagerIdentity エンタープライズ管理者
LocalManagerIdentity
同じグローバル マネージャに登録されているローカル マネージャごとに 1 つ。UI には表示されないため、ローカル マネージャ PI ユーザーのリストを取得するには、次の API を使用します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities
監査者

グローバル マネージャとローカル マネージャの証明書

ローカル マネージャをグローバル マネージャに追加すると、外部および内部の通信でローカル マネージャの認証に使用される証明書がグローバル マネージャにコピーされ、2 つのシステム間で信頼関係が確立されます。これらの証明書は、グローバル マネージャに登録済みの各サイトにもコピーされます。

フェデレーションを使用して各アプライアンスに作成された証明書と、これらのアプライアンス間で交換される証明書のリストについては、次の表を参照してください。

表 2. グローバル マネージャとローカル マネージャの証明書
グローバル マネージャまたはローカル マネージャでの命名規則 目的 交換可能か。 デフォルトの有効期限
[各フェデレーション アプライアンスに固有の証明書は次のとおりです。]
APH-AR certificate
  • グローバル マネージャと各ローカル マネージャ。
  • AR チャネル(Async-Replicator チャネル)を使用したサイト間通信で使用されます。
× 10 年
GlobalManager
  • グローバル マネージャ。
  • グローバル マネージャの PI 証明書。
はい。証明書の置き換え を参照してください。 825 日
mp-cluster certificate
  • グローバル マネージャと各ローカル マネージャ。
  • グローバル マネージャまたはローカル マネージャ クラスタの VIP と UI または API との通信に使用されます。
tomcat certificate
  • グローバル マネージャと各ローカル マネージャ。
  • UI または API を使用して、グローバル マネージャに追加された場所にある個々のグローバル マネージャ ノードまたはローカル マネージャ ノードと通信を行う場合に使用されます。
LocalManager
  • ローカル マネージャ。
  • この特定のローカル マネージャの PI 証明書。
[フェデレーション アプライアンス間で交換される証明書は次のとおりです。]
[グローバル マネージャまたはローカル マネージャでの命名規則] [目的] [交換可能か。] [デフォルトの有効期限]
ハッシュコード(例: 1729f966-67b7-4c17-bdf5-325affb79f4f
  • グローバル マネージャに登録されているローカル マネージャ間で交換されます。
  • グローバル マネージャとローカル マネージャの間で交換される PI 証明書。
  • 各場所で登録済みのロケーション マネージャと交換される PI 証明書。

該当なし

Site certificate CN=<>,O
  • フェデレーション アプライアンス(すべての登録済みローカル マネージャとグローバル マネージャ)間で交換されます。
  • すべてのタイプの証明書。