システムによって、NSX アプライアンス間の通信と NSX フェデレーション アプライアンスを含む外部通信に必要な証明書が作成されます。このトピックでは、さまざまな証明書情報について説明します。

4.1.0 以降では、3.2.x には存在しないいくつかの新しい証明書タイプが導入されました。たとえば、CCP、APH_TN、CBM_CLUSTER_MANAGER、CBM_CORFU 証明書などです。これらは、証明書を置き換え可能にするための EAL4 要件の一部でした。アップグレード プロセスの一部として表示されます。
注: フェデレーション NSX 環境では、他の場所から送信された証明書が [証明書] ペインに表示されます。これらの証明書は、「Site」で始まる名前で表示されます。たとえば、 Site certificate L=PA,ST=CA,C=USSite certificate UID=369cd66c-...、または UUID のみの 637a2ebf-84d1-4548-a0ba-51d9420672ff などです。これらの証明書の有効期限が切れている場合は、対応するプライベート キーが保存されている元のサイトで証明書を置き換えます。この情報は、ユーザー インターフェイスまたは API の [使用元] フィールドで確認できます。元の グローバル マネージャ または ローカル マネージャ の証明書を置き換えると、システムはフェデレーション環境全体で証明書を自動的に同期します。

NSX Manager の証明書の表には、証明書が新しい環境でのみ有効な期間など、証明書の詳細が反映されます。アップグレード中は新しい証明書が生成されないため、証明書の有効期間には以前の NSX バージョンのデフォルトの証明書期限切れの日付が反映されます。既存の自己署名証明書を CA 署名付き証明書に置き換えるには、API による証明書の置き換えを参照して詳細を確認してください。セキュリティ コンプライアンス イベントについては、NSX イベント カタログを参照してください。

表 1. NSX Manager の証明書
証明書の命名規則 目的 service_type を使用して置き換え可能 デフォルトの有効期限
APH(別名 APH_AR) フェデレーションのクロス通信用のアプライアンス プロキシ ハブ (APH) サーバのパブリック キーと非同期レプリケータ はい。service_type=APH を使用。 825 日
APH_TN トランスポート ノード (TN) とクラスタ内通信用のアプライアンス プロキシ ハブ (APH) 証明書 はい。service_type=APH_TN を使用。 825 日
API NSX Manager ノードの API サーバ証明書 はい。service_type=API を使用。 825 日
CCP トランスポート ノードと通信するための制御構成プレーン証明書 はい。service_type=CCP を使用。 10 年
MGMT_CLUSTER(別名 VIP) VIP で使用される API サーバ証明書 はい。service_type=MGMT_CLUSTER を使用。 825 日
CBM_CLUSTER_MANAGER Corfu クライアント証明書 はい。service_type=CBM_CLUSTER_MANAGER を使用。 100 年
CBM_CORFU Corfu サーバ証明書 はい。service_type=CBM_CORFU を使用。 4.1.0 では、825 日。4.1.1 以降では、100 年。

NSX フェデレーション 通信の証明書

デフォルトでは、グローバル マネージャ は、内部コンポーネント、登録済み ローカル マネージャ との通信、およびNSX Manager ユーザー インターフェイスまたは API の認証に自己署名証明書を使用します。

外部通信(ユーザー インターフェイス/API)とサイト間通信に使用される証明書は NSX Manager で確認できます。内部証明書は表示または編集できません。

注: ローカル マネージャローカル マネージャ を登録する前に、 グローバル マネージャ 外部 VIP を有効にしないでください。同じ ローカル マネージャNSX フェデレーション と PKS を使用する必要がある場合、 グローバル マネージャローカル マネージャ を登録する [前に]、外部 VIP の作成と ローカル マネージャ 証明書の変更を行う PKS タスクを完了してください。

グローバル マネージャローカル マネージャ の証明書

ローカル マネージャグローバル マネージャ に追加すると、ローカル マネージャグローバル マネージャ 間で証明書を交換することで信頼が確立されます。これらの証明書は、グローバル マネージャ に登録済みの各サイトにもコピーされます。NSX 4.1.0 以降では、ローカル マネージャグローバル マネージャ に登録されている場合にのみ、グローバル マネージャ との信頼の確立に使用される証明書が生成されます。ローカル マネージャNSX フェデレーション 環境から移動すると、同証明書は削除されます。

各アプライアンス用に作成されたすべての NSX フェデレーション 固有の証明書と、これらのアプライアンスが相互に交換する証明書のリストについては、グローバル マネージャとローカル マネージャの証明書の表を参照してください。

表 2. グローバル マネージャローカル マネージャ の証明書
グローバル マネージャ または ローカル マネージャ の命名規則 目的 交換可能か。 デフォルトの有効期限
[各 ]NSX フェデレーション[ アプライアンスに固有の証明書は次のとおりです。]
APH-AR certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • AR チャネル(Async-Replicator チャネル)を使用したサイト間通信で使用されます。
はい。service_type=APH を使用。「API による証明書の置き換え」を参照してください。 10 年
GlobalManager
  • グローバル マネージャ
  • グローバル マネージャ の PI 証明書。
はい。service_type=GLOBAL_MANAGER を使用。『API による証明書の置き換え』を参照してください。 825 日
Cluster certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • グローバル マネージャ または ローカル マネージャ クラスタの VIP とユーザー インターフェイスまたは API との通信に使用されます。
はい。service_type=MGMT_CLUSTER を使用。『API による証明書の置き換え』を参照してください。 825 日
API certificate
  • グローバル マネージャ および各 ローカル マネージャ の場合。
  • ユーザー インターフェイスまたは API を使用して、グローバル マネージャ に追加された場所にある個々の グローバル マネージャ ノードまたは ローカル マネージャ ノードと通信を行う場合に使用されます。
はい。service_type=API を使用。「API による証明書の置き換え」を参照してください。 825 日
LocalManager
  • NSX 4.1 以降では、ローカル マネージャ サーバが NSX フェデレーション 環境にある場合にのみ生成されます。ローカル マネージャNSX フェデレーション 環境から移動すると、証明書が削除されます。
  • この特定の ローカル マネージャ の PI 証明書。
はい。service_type=LOCAL_MANAGER を使用。「API による証明書の置き換え」を参照してください。 825 日
LM と GM はクラスタ、API、APH-AR 証明書を共有します。証明書が CA 署名付きの場合、CA は同期されますが、その証明書は同期されません。

NSX フェデレーション のプリンシパル ID (PI) ユーザー

ローカル マネージャグローバル マネージャ に追加すると、対応するロールを持つ次の PI ユーザーが作成されます。
表 3. NSX フェデレーション 用に作成されるプリンシパル ID (PI) ユーザー
NSX フェデレーション アプライアンス PI ユーザー名 PI ユーザー ロール
グローバル マネージャ LocalManagerIdentity

この グローバル マネージャ に登録されている ローカル マネージャ ごとに 1 つ。

監査者
ローカル マネージャ GlobalManagerIdentity エンタープライズ管理者
LocalManagerIdentity
同じ グローバル マネージャ に登録されている ローカル マネージャ ごとに 1 つ。ユーザー インターフェイスに表示されないため、すべての ローカル マネージャ PI ユーザーのリストを取得するには、次の API コマンドを入力します。
GET https://<local-mgr>/api/v1/trust-management/principal-identities
監査者