システムによって、NSX アプライアンス間の通信と NSX フェデレーション アプライアンスを含む外部通信に必要な証明書が作成されます。
既存の自己署名証明書を CA 署名付き証明書に置き換えるには、証明書の置き換えを参照して詳細を確認してください。セキュリティ コンプライアンス イベントについては、NSX イベント カタログを参照してください。
| 証明書の命名規則 | 目的 | service_type を使用して置き換え可能 | デフォルトの有効期限 |
|---|---|---|---|
| APH-AR | アプライアンス プロキシ ハブ (APH) サーバのパブリック キーと Asynchronous Replicator | はい。service_type=APH を使用。 | 825 日 |
| APH-TN | トランスポート ノード (TN) とクラスタ内通信用のアプライアンス プロキシ ハブ (APH) 証明書 | はい。service_type=APH_TN を使用。 | 825 日 |
| API(別名 tomcat) | NSX Manager ノードの API サーバ証明書 | はい。service_type=API を使用。 | 825 日 |
| API-Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_API を使用。 | 100 年 |
| AR-Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_AR を使用。 | 100 年 |
| CCP-Corfu クライアント | 制御構成プレーンの Corfu クライアント証明書 | はい。service_type=CBM_CCP を使用。 | 100 年 |
| クラスタ(別名 mp-cluster) | Corfu クライアント証明書 | はい。service_type=MGMT_CLUSTER を使用。 | 825 日 |
| クラスタ マネージャ - Corfu | Corfu クライアント証明書 | はい。service_type=CBM_CLUSTER_MANAGER を使用。 | 100 年 |
| CM インベントリ - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_CM_INVENTORY を使用。 |
100 年 |
| Corfu サーバ | Corfu クライアント証明書 | はい。service_type=CBM_CORFU を使用。 | 100 年 |
| IDPS レポート - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_IDPS_REPORTING を使用。 | 100 年 |
| メッセージング マネージャ - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_MESSAGING_MANAGER を使用。 | 100 年 |
| モニタリング - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_MONITORING を使用。 | 100 年 |
| MP-Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_MP を使用。 | 100 年 |
| サイト マネージャ - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_SITE_MANAGER を使用 | 100 年 |
| Upgrade Coordinator - Corfu クライアント | Corfu クライアント証明書 | はい。service_type=CBM_UPGRADE_COORDINATOR を使用。 | 100 年 |
NSX フェデレーション 通信の証明書
デフォルトでは、グローバル マネージャ は、内部コンポーネント、登録済み ローカル マネージャ との通信、およびNSX Manager ユーザー インターフェイスまたは API の認証に自己署名証明書を使用します。
外部通信(ユーザー インターフェイス/API)とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。
グローバル マネージャ と ローカル マネージャ の証明書
ローカル マネージャ を グローバル マネージャ に追加すると、ローカル マネージャ と グローバル マネージャ 間で証明書を交換することで信頼が確立されます。これらの証明書は、グローバル マネージャ に登録済みの各サイトにもコピーされます。NSX 4.1.0 以降では、ローカル マネージャ が グローバル マネージャ に登録されている場合にのみ、グローバル マネージャ との信頼の確立に使用される証明書が生成されます。ローカル マネージャ が NSX フェデレーション 環境から移動すると、同証明書は削除されます。
各アプライアンス用に作成されたすべての NSX フェデレーション 固有の証明書と、これらのアプライアンスが相互に交換する証明書のリストについては、グローバル マネージャとローカル マネージャの証明書の表を参照してください。
| グローバル マネージャ または ローカル マネージャ の命名規則 | 目的 | 交換可能か。 | デフォルトの有効期限 |
|---|---|---|---|
| [各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。] | |||
| APH-AR certificate |
|
はい。service_type=APH を使用。証明書の置き換えを参照してください。 | 10 年 |
| GlobalManager |
|
はい。service_type=GLOBAL_MANAGER を使用。『証明書の置き換え』を参照してください。 | 825 日 |
| Cluster certificate |
|
はい。service_type=MGMT_CLUSTER を使用。『証明書の置き換え』を参照してください。 | 825 日 |
| API certificate |
|
はい。service_type=API を使用。証明書の置き換えを参照してください。 | 825 日 |
| LocalManager |
|
はい。service_type=LOCAL_MANAGER を使用。証明書の置き換えを参照してください。 | 825 日 |
| LM と GM はクラスタ、API、APH-AR 証明書を共有します。証明書が CA 署名付きの場合、CA は同期されますが、その証明書は同期されません。 | |||
NSX フェデレーション のプリンシパル ID (PI) ユーザー
| NSX フェデレーション アプライアンス | PI ユーザー名 | PI ユーザー ロール |
|---|---|---|
| グローバル マネージャ | LocalManagerIdentity この グローバル マネージャ に登録されている ローカル マネージャ ごとに 1 つ。 |
監査者 |
| ローカル マネージャ | GlobalManagerIdentity | エンタープライズ管理者 |
| LocalManagerIdentity
同じ
グローバル マネージャ に登録されている
ローカル マネージャ ごとに 1 つ。ユーザー インターフェイスに表示されないため、すべての
ローカル マネージャ PI ユーザーのリストを取得するには、次の API コマンドを入力します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
監査者 |
