NSX フェデレーション アプライアンス間の通信と外部通信に必要な証明書は、システムによって生成されます。
デフォルトでは、グローバル マネージャ は、内部コンポーネントと登録済みのローカル マネージャと間の通信に自己署名証明書を使用します。この証明書は、NSX Manager のユーザー インターフェイスまたは API の認証でも使用されます。
外部通信 (ユーザー インターフェイス/API) とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。
注:
ローカル マネージャ で
ローカル マネージャ を登録する前に、
グローバル マネージャ 外部 VIP を有効にしないでください。同じ
ローカル マネージャ で
NSX フェデレーション と PKS を使用する必要がある場合、
グローバル マネージャ で
ローカル マネージャ を登録する
[前に]、外部 VIP の作成と
ローカル マネージャ 証明書の変更を行う PKS タスクを完了してください。
グローバル マネージャ とローカル マネージャの証明書
ローカル マネージャ を グローバル マネージャ に追加すると、外部および内部の通信で ローカル マネージャ の認証に使用される証明書が グローバル マネージャ にコピーされ、2 つのシステム間で信頼関係が確立されます。これらの証明書は、グローバル マネージャ に登録済みの各サイトにもコピーされます。
NSX フェデレーション を使用して各アプライアンスに作成された証明書と、これらのアプライアンス間で交換される証明書のリストについては、次の表を参照してください。
| グローバル マネージャ またはローカル マネージャでの命名規則 | 目的 | 交換可能か。 | デフォルトの有効期限 |
|---|---|---|---|
| [各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。] | |||
| APH-AR certificate |
|
はい。証明書の置き換え を参照してください。 | 10 年 |
| GlobalManager |
|
はい。証明書の置き換え を参照してください。 | 825 日 |
| mp-cluster certificate |
|
||
| tomcat certificate |
|
||
| LocalManager |
|
||
| []NSX フェデレーション[ アプライアンス間で交換される証明書は次のとおりです。] | |||
| [グローバル マネージャまたはローカル マネージャでの命名規則] | [目的] | [交換可能か。] | [デフォルトの有効期限] |
| ハッシュコード(例: 1729f966-67b7-4c17-bdf5-325affb79f4f) |
|
該当なし |
|
| Site certificate CN=<>,O |
|
||
NSX フェデレーション のプリンシパル ID (PI) ユーザー
ローカル マネージャを
グローバル マネージャ に追加すると、次の PI ユーザーが作成され、対応するロールが付与されます。
| NSX フェデレーション アプライアンス | PI ユーザー名 | PI ユーザー ロール |
|---|---|---|
| グローバル マネージャ | LocalManagerIdentity この グローバル マネージャ に登録されているローカル マネージャごとに 1 つ。 |
監査者 |
| ローカル マネージャ | GlobalManagerIdentity | エンタープライズ管理者 |
| LocalManagerIdentity
同じ
グローバル マネージャ に登録されているローカル マネージャごとに 1 つ。ユーザー インターフェイスには表示されないため、ローカル マネージャ PI ユーザーのリストを取得するには、次の API を使用します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
監査者 |
