システムによって、NSX アプライアンス間の通信と NSX フェデレーション アプライアンスを含む外部通信に必要な証明書が作成されます。このトピックでは、さまざまな証明書情報について説明します。
NSX Manager の証明書の表には、証明書が新しい環境でのみ有効な期間など、証明書の詳細が反映されます。アップグレード中は新しい証明書が生成されないため、証明書の有効期間には以前の NSX バージョンのデフォルトの証明書期限切れの日付が反映されます。既存の自己署名証明書を CA 署名付き証明書に置き換えるには、API による証明書の置き換えを参照して詳細を確認してください。セキュリティ コンプライアンス イベントについては、NSX イベント カタログを参照してください。
証明書の命名規則 | 目的 | service_type を使用して置き換え可能 | デフォルトの有効期限 |
---|---|---|---|
APH(別名 APH_AR) | フェデレーションのクロス通信用のアプライアンス プロキシ ハブ (APH) サーバのパブリック キーと非同期レプリケータ | はい。service_type=APH を使用。 | 825 日 |
APH_TN | トランスポート ノード (TN) とクラスタ内通信用のアプライアンス プロキシ ハブ (APH) 証明書 | はい。service_type=APH_TN を使用。 | 825 日 |
API | NSX Manager ノードの API サーバ証明書 | はい。service_type=API を使用。 | 825 日 |
CCP | トランスポート ノードと通信するための制御構成プレーン証明書 | はい。service_type=CCP を使用。 | 10 年 |
MGMT_CLUSTER(別名 VIP) | VIP で使用される API サーバ証明書 | はい。service_type=MGMT_CLUSTER を使用。 | 825 日 |
CBM_CLUSTER_MANAGER | Corfu クライアント証明書 | はい。service_type=CBM_CLUSTER_MANAGER を使用。 | 100 年 |
CBM_CORFU | Corfu サーバ証明書 | はい。service_type=CBM_CORFU を使用。 | 4.1.0 では、825 日。4.1.1 以降では、100 年。 |
NSX フェデレーション 通信の証明書
デフォルトでは、グローバル マネージャ は、内部コンポーネント、登録済み ローカル マネージャ との通信、およびNSX Manager ユーザー インターフェイスまたは API の認証に自己署名証明書を使用します。
外部通信(ユーザー インターフェイス/API)とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。
グローバル マネージャ と ローカル マネージャ の証明書
ローカル マネージャ を グローバル マネージャ に追加すると、ローカル マネージャ と グローバル マネージャ 間で証明書を交換することで信頼が確立されます。これらの証明書は、グローバル マネージャ に登録済みの各サイトにもコピーされます。NSX 4.1.0 以降では、ローカル マネージャ が グローバル マネージャ に登録されている場合にのみ、グローバル マネージャ との信頼の確立に使用される証明書が生成されます。ローカル マネージャ が NSX フェデレーション 環境から移動すると、同証明書は削除されます。
各アプライアンス用に作成されたすべての NSX フェデレーション 固有の証明書と、これらのアプライアンスが相互に交換する証明書のリストについては、グローバル マネージャとローカル マネージャの証明書の表を参照してください。
グローバル マネージャ または ローカル マネージャ の命名規則 | 目的 | 交換可能か。 | デフォルトの有効期限 |
---|---|---|---|
[各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。] | |||
APH-AR certificate |
|
はい。service_type=APH を使用。「API による証明書の置き換え」を参照してください。 | 10 年 |
GlobalManager |
|
はい。service_type=GLOBAL_MANAGER を使用。『API による証明書の置き換え』を参照してください。 | 825 日 |
Cluster certificate |
|
はい。service_type=MGMT_CLUSTER を使用。『API による証明書の置き換え』を参照してください。 | 825 日 |
API certificate |
|
はい。service_type=API を使用。「API による証明書の置き換え」を参照してください。 | 825 日 |
LocalManager |
|
はい。service_type=LOCAL_MANAGER を使用。「API による証明書の置き換え」を参照してください。 | 825 日 |
LM と GM はクラスタ、API、APH-AR 証明書を共有します。証明書が CA 署名付きの場合、CA は同期されますが、その証明書は同期されません。 |
NSX フェデレーション のプリンシパル ID (PI) ユーザー
NSX フェデレーション アプライアンス | PI ユーザー名 | PI ユーザー ロール |
---|---|---|
グローバル マネージャ | LocalManagerIdentity この グローバル マネージャ に登録されている ローカル マネージャ ごとに 1 つ。 |
監査者 |
ローカル マネージャ | GlobalManagerIdentity | エンタープライズ管理者 |
LocalManagerIdentity
同じ
グローバル マネージャ に登録されている
ローカル マネージャ ごとに 1 つ。ユーザー インターフェイスに表示されないため、すべての
ローカル マネージャ PI ユーザーのリストを取得するには、次の API コマンドを入力します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
監査者 |