NSX 및 NSX 페더레이션에 대한 인증서

시스템은 NSX 장치 간 통신과 NSX 페더레이션 장치를 포함한 외부 통신에 필요한 인증서를 생성합니다. 이 항목에서는 다양한 인증서 정보를 다룹니다.

4.1.0부터 3.2.x에 없는 몇 가지 새로운 인증서 유형이 도입되었습니다. 예를 들면 CCP, APH_TN, CBM_CLUSTER_MANAGER 및 CBM_CORFU 인증서가 있습니다. 이것은 인증서를 교체할 수 있도록 하기 위한 EAL4 요구 사항의 일부였습니다. 이러한 인증서가 업그레이드 프로세스의 일부로 표시됩니다.

참고: 페더레이션된 NSX 배포에서는 다른 위치에서 시작된 인증서가 [인증서] 창에 표시됩니다. 이러한 인증서는 사이트로 시작하는 이름으로 표시되거나(예: " 사이트 인증서 L=PA,ST=CA,C=US" , " 사이트 인증서 UID=369cd66c-... " ) UUID만 사용하여 표시됩니다( " 637a2ebf-84d1-4548-a0ba-51d9420672ff" ). 인증서가 만료되는 경우 해당 개인 키가 저장된 원래 사이트에서 해당 인증서를 교체합니다. 해당 정보는 UI 또는 API의 사용자 필드에서 찾을 수 있습니다. 원래 글로벌 관리자 또는 로컬 관리자에서 인증서를 교체하면 시스템은 페더레이션된 배포 전체에서 인증서를 자동으로 동기화합니다.

NSX Manager용 인증서 표에는 인증서가 새 배포에만 유효한 기간을 포함한 인증서 세부 정보가 반영됩니다. 업그레이드하는 동안 새 인증서가 생성되지 않으므로 인증서 유효 날짜에는 이전 NSX 버전의 기본 인증서 만료 날짜가 반영됩니다. 기존의 자체 서명된 인증서를 CA 서명 인증서로 교체하려면 API를 통해 인증서 교체의 세부 정보를 참조하십시오. 보안 규정 준수 이벤트에 대한 자세한 내용은 NSX 이벤트 카탈로그를 참조하십시오.

표 1. NSX Manager에 대한 인증서
인증서 이름 지정 규칙	용도	service_type을 사용하여 교체 가능	기본 유효성
APH(APH_AR라고도 함)	APH(장치 프록시 허브) 서버 공용 키 및 교차 통신을 위한 비동기 Replicator, 페더레이션용	예, service_type=APH를 사용합니다.	825일
APH_TN	TN(전송 노드) 및 클러스터 내 통신을 위한 APH(장치 프록시 허브) 인증서	예, service_type=APH_TN을 사용합니다.	825일
API	NSX Manager 노드에 대한 API 서버 인증서	예, service_type=API를 사용합니다.	825일
CCP	전송 노드와 통신하기 위한 제어 구성부 인증서	예, service_type=CCP를 사용합니다.	10년
MGMT_CLUSTER(VIP라고도 함)	VIP에서 사용하는 API 서버 인증서	예, service_type=MGMT_CLUSTER를 사용합니다.	825일
CBM_CLUSTER_MANAGER	Corfu 클라이언트 인증서	예, service_type=CBM_CLUSTER_MANAGER를 사용합니다.	100년
CBM_CORFU	Corfu 서버 인증서	예, service_type=CBM_CORFU를 사용합니다.	4.1.0에서, 825일 4.1.1부터, 100년

NSX 페더레이션 통신을 위한 인증서

기본적으로 글로벌 관리자는 내부 구성 요소, 등록된 로컬 관리자와 통신하고 NSX Manager UI 또는 API에 대한 인증에 자체 서명된 인증서를 사용합니다.

NSX Manager에서 외부(UI/API) 및 사이트 간 인증서를 볼 수 있습니다. 내부 인증서는 보거나 편집할 수 없습니다.

참고: 글로벌 관리자에서 로컬 관리자를 등록하기 전에 로컬 관리자 외부 VIP를 사용하도록 설정하지 마십시오. NSX 페더레이션과 PKS를 동일한 로컬 관리자에서 사용해야 하는 경우, 외부 VIP를 생성하고 글로벌 관리자에서 로컬 관리자를 등록하기 전에 로컬 관리자 인증서를 변경하기 위한 PKS 작업을 완료해야 합니다.

글로벌 관리자 및 로컬 관리자에 대한 인증서

로컬 관리자를 글로벌 관리자로 추가하면 로컬 관리자와 글로벌 관리자 간에 인증서를 교환하여 신뢰가 설정됩니다. 이러한 인증서는 글로벌 관리자에 등록된 각 사이트에도 복사됩니다. NSX 4.1.0부터 글로벌 관리자와의 신뢰를 설정하는 데 사용되는 인증서는 로컬 관리자가 글로벌 관리자에 등록할 때만 생성됩니다. 로컬 관리자가 NSX 페더레이션 환경 외부로 이동하면 동일한 인증서가 삭제됩니다.

각 장치에 대해 생성된 모든 NSX 페더레이션 특정 인증서 목록과 이러한 장치가 서로 교환하는 인증서에 대한 목록은 글로벌 관리자 및 로컬 관리자의 인증서 표를 참조하십시오.

표 2. 글로벌 관리자 및 로컬 관리자에 대한 인증서
글로벌 관리자 또는 로컬 관리자의 명명 규칙	용도	교체 가능 여부	기본 유효성
다음은 각 NSX 페더레이션 장치와 관련된 인증서입니다.
APH-AR certificate	글로벌 관리자 및 각 로컬 관리자의 경우. AR 채널(Async-Replicator 채널)을 사용하는 사이트 간 통신에 사용됩니다.	예, service_type=APH를 사용합니다. API를 통해 인증서 교체 항목을 참조하십시오.	10년
GlobalManager	글로벌 관리자의 경우. 글로벌 관리자를 위한 PI 인증서.	예, service_type=GLOBAL_MANAGER를 사용합니다. API를 통해 인증서 교체 항목을 참조하십시오.	825일
Cluster certificate	글로벌 관리자 및 각 로컬 관리자의 경우. 글로벌 관리자 또는 로컬 관리자 클러스터 VIP와의 UI/API 통신에 사용됩니다.	예, service_type=MGMT_CLUSTER를 사용합니다. API를 통해 인증서 교체 항목을 참조하십시오.	825일
API certificate	글로벌 관리자 및 각 로컬 관리자의 경우. 글로벌 관리자에 추가된 각 위치에 대해 개별 글로벌 관리자 및 로컬 관리자 노드와의 UI/API 통신에 사용됩니다.	예, service_type=API를 사용합니다. API를 통해 인증서 교체 항목을 참조하십시오.	825일
LocalManager	NSX 4.1부터는 로컬 관리자 서버가 NSX 페더레이션 환경에 있는 경우에만 생성합니다. 로컬 관리자가 NSX 페더레이션 환경 외부로 이동하면 해당 인증서가 삭제됩니다. 이 특정 로컬 관리자를 위한 PI 인증서.	예, service_type=LOCAL_MANAGER를 사용합니다. API를 통해 인증서 교체 항목을 참조하십시오.	825일
LM과 GM은 클러스터, API 및 APH-AR 인증서를 공유합니다. CA에서 인증서에 서명한 경우 CA가 동기화되지만 해당 인증서는 동기화되지 않습니다.

NSX 페더레이션에 대한 PI(주체 ID) 사용자

로컬 관리자를 글로벌 관리자로 추가하면 해당 역할이 있는 다음 PI 사용자가 생성됩니다.

표 3. NSX 페더레이션에 대해 생성된 PI(주체 ID) 사용자
NSX 페더레이션 장치	PI 사용자 이름	PI 사용자 역할
글로벌 관리자	LocalManagerIdentity 이 글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다.	감사자
로컬 관리자	GlobalManagerIdentity	엔터프라이즈 관리자
로컬 관리자	LocalManagerIdentity 동일한 글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다. UI에 표시되지 않기 때문에 모든 로컬 관리자 PI 사용자의 목록을 가져오려면 다음 API 명령을 입력합니다. GET https://<local-mgr>/api/v1/trust-management/principal-identities	감사자