NSX フェデレーション アプライアンス間の通信と外部通信に必要な証明書は、システムによって生成されます。

デフォルトでは、グローバル マネージャ は、内部コンポーネントと登録済みのローカル マネージャと間の通信に自己署名証明書を使用します。この証明書は、NSX Manager のユーザー インターフェイスまたは API の認証でも使用されます。

外部通信 (ユーザー インターフェイス/API) とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。

注: グローバル マネージャローカル マネージャ を登録する前に ローカル マネージャ の外部 VIP を有効にしないでください。同じ ローカル マネージャ でフェデレーションと PKS を使用する場合、 グローバル マネージャローカル マネージャ を登録する [前に]、外部 VIP の作成と ローカル マネージャ 証明書の変更を行う PKS タスクを実行する必要があります。

グローバル マネージャ とローカル マネージャの証明書

ローカル マネージャグローバル マネージャ に追加すると、外部および内部の通信で ローカル マネージャ の認証に使用される証明書が グローバル マネージャ にコピーされ、2 つのシステム間で信頼関係が確立されます。これらの証明書は、グローバル マネージャ に登録済みの各サイトにもコピーされます。

NSX フェデレーション を使用して各アプライアンスに作成された証明書と、これらのアプライアンス間で交換される証明書のリストについては、次の表を参照してください。

表 1. グローバル マネージャとローカル マネージャの証明書
グローバル マネージャ またはローカル マネージャでの命名規則 目的 交換可能か。 デフォルトの有効期限
[各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。]
APH-AR certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • AR チャネル(Async-Replicator チャネル)を使用したサイト間通信で使用されます。
はい。証明書の置き換え を参照してください。 10 年
GlobalManager
  • グローバル マネージャ の場合。
  • グローバル マネージャ の PI 証明書。
はい。証明書の置き換え を参照してください。 825 日
mp-cluster certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • グローバル マネージャ または ローカル マネージャ クラスタの VIP とユーザー インターフェイスまたは API との通信に使用されます。
tomcat certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • ユーザー インターフェイスまたは API を使用して、グローバル マネージャ に追加された場所にある個々の グローバル マネージャ ノードまたは ローカル マネージャ ノードと通信を行う場合に使用されます。
LocalManager
  • ローカル マネージャ の場合。
  • この特定の ローカル マネージャ の PI 証明書。
[]NSX フェデレーション[ アプライアンス間で交換される証明書は次のとおりです。]
[グローバル マネージャまたはローカル マネージャでの命名規則] [目的] [交換可能か。] [デフォルトの有効期限]
ハッシュコード(例: 1729f966-67b7-4c17-bdf5-325affb79f4f
  • グローバル マネージャ に登録されているローカル マネージャ間で交換されます。
  • グローバル マネージャ とローカル マネージャの間で交換される PI 証明書。
  • 各場所で登録済みのロケーション マネージャと交換される PI 証明書。

該当なし

Site certificate CN=<>,O
  • すべての NSX フェデレーション アプライアンス(すべての登録済みローカル マネージャと グローバル マネージャ)間で交換されます。
  • すべてのタイプの証明書。

NSX フェデレーション のプリンシパル ID (PI) ユーザー

ローカル マネージャを グローバル マネージャ に追加すると、次の PI ユーザーが作成され、対応するロールが付与されます。
表 2. NSX フェデレーション 用に作成されるプリンシパル ID (PI) ユーザー
NSX フェデレーション アプライアンス PI ユーザー名 PI ユーザー ロール
グローバル マネージャ LocalManagerIdentity

この グローバル マネージャ に登録されているローカル マネージャごとに 1 つ。

監査者
ローカル マネージャ GlobalManagerIdentity エンタープライズ管理者
LocalManagerIdentity
同じ グローバル マネージャ に登録されているローカル マネージャごとに 1 つ。ユーザー インターフェイスには表示されないため、ローカル マネージャ PI ユーザーのリストを取得するには、次の API を使用します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities
監査者