시스템은 NSX 장치 간 통신과 NSX 페더레이션 장치를 포함한 외부 통신에 필요한 인증서를 생성합니다. 이 항목에서는 다양한 인증서 정보를 다룹니다.
4.1.0부터 3.2.x에 없는 몇 가지 새로운 인증서 유형이 도입되었습니다. 예를 들면 CCP, APH-TN 및 Corfu 인증서가 있습니다. 이것은 인증서를 교체할 수 있도록 하기 위한 EAL4 요구 사항의 일부였습니다. 이러한 인증서가 업그레이드 프로세스의 일부로 표시됩니다.
참고: 페더레이션된
NSX 배포에서는 다른 위치에서 시작된 인증서가 [인증서] 창에 표시됩니다. 이러한 인증서는 사이트로 시작하는 이름으로 표시되거나(예: "
사이트 인증서 L=PA,ST=CA,C=US" , "
사이트 인증서 UID=369cd66c-... " ) UUID만 사용하여 표시됩니다( "
637a2ebf-84d1-4548-a0ba-51d9420672ff" ). 인증서가 만료되는 경우 해당 개인 키가 저장된 원래 사이트에서 해당 인증서를 교체합니다. UI의
사용처 열 또는 API의
사용자 필드에서 해당 정보를 찾을 수 있습니다. 원래
글로벌 관리자 또는
로컬 관리자에서 인증서를 교체하면 시스템은 페더레이션된 배포 전체에서 인증서를 자동으로 동기화합니다.
NSX Manager용 인증서 표에는 인증서가 새 배포에만 유효한 기간을 포함한 인증서 세부 정보가 반영됩니다. 업그레이드하는 동안 새 인증서가 생성되지 않으므로 인증서 유효 날짜에는 이전 NSX 버전의 기본 인증서 만료 날짜가 반영됩니다. 기존의 자체 서명된 인증서를 CA 서명 인증서로 교체하려면 인증서 바꾸기의 세부 정보를 참조하십시오. 보안 규정 준수 이벤트에 대한 자세한 내용은 NSX 이벤트 카탈로그를 참조하십시오.
| 인증서 이름 지정 규칙 | 용도 | service_type을 사용하여 교체 가능 | 기본 유효성 |
|---|---|---|---|
| APH-AR | APH(장치 프록시 허브) 서버 공용 키 및 교차 통신을 위한 비동기 Replicator, 페더레이션용 | 예, service_type=APH를 사용합니다. | 825일 |
| APH-TN | TN(전송 노드) 및 클러스터 내 통신을 위한 APH(장치 프록시 허브) 인증서 | 예, service_type=APH_TN을 사용합니다. | 825일 |
| API(tomcat이라고도 함) | NSX Manager 노드에 대한 API 서버 인증서 | 예, service_type=API를 사용합니다. | 825일 |
| API-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_API를 사용합니다. | 100년 |
| AR-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_AR을 사용합니다. | 100년 |
| CCP-Corfu 클라이언트 | 제어 구성부 Corfu 클라이언트 인증서 | 예, service_type=CBM_CCP를 사용합니다. | 100년 |
| CSM-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_CSM를 사용합니다. | 100년 |
| CCP | 전송 노드와 통신하기 위한 제어 구성부 인증서 | 예, service_type=CCP를 사용합니다. | 10년 |
| 클러스터(mp-cluster라고도 함) | VIP에서 사용하는 API 서버 인증서 | 예, service_type=MGMT_CLUSTER를 사용합니다. | 825일 |
| 클러스터 관리자-Corfu | Corfu 클라이언트 인증서 | 예, service_type=CBM_CLUSTER_MANAGER를 사용합니다. | 100년 |
| CM 인벤토리-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_CM_INVENTORY를 사용합니다. |
100년 |
| Corfu 서버 | Corfu 서버 인증서 | 예, service_type=CBM_CORFU를 사용합니다. | 4.1.0에서, 825일 4.1.1부터, 100년 |
| GM-Corfu 클라이언트 | Corfu 클라이언트 인증서가 글로벌 관리자에만 있음 | 예, service_type=CBM_GM을 사용합니다. | 100년 |
| IDPS 보고-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_IDPS_REPORTING을 사용합니다. | 100년 |
| 메시징 관리자-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MESSAGING_MANAGER를 사용합니다. | 100년 |
| 모니터링-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MONITORING을 사용합니다. | 100년 |
| MP-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_MP를 사용합니다. | 100년 |
| 사이트 관리자-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_SITE_MANAGER를 사용합니다. | 100년 |
| 업그레이드 조정기-Corfu 클라이언트 | Corfu 클라이언트 인증서 | 예, service_type=CBM_UPGRADE_COORDINATOR를 사용합니다. | 100년 |
NSX 페더레이션 통신을 위한 인증서
기본적으로 글로벌 관리자는 내부 구성 요소, 등록된 로컬 관리자와 통신하고 NSX Manager UI 또는 API에 대한 인증에 자체 서명된 인증서를 사용합니다.
NSX Manager에서 외부(UI/API) 및 사이트 간 인증서를 볼 수 있습니다. 내부 인증서는 보거나 편집할 수 없습니다.
참고:
글로벌 관리자에서
로컬 관리자를 등록하기 전에
로컬 관리자 외부 VIP를 사용하도록 설정하지 마십시오.
NSX 페더레이션과 PKS를 동일한
로컬 관리자에서 사용해야 하는 경우, 외부 VIP를 생성하고
글로벌 관리자에서
로컬 관리자를 등록하기
전에
로컬 관리자 인증서를 변경하기 위한 PKS 작업을 완료해야 합니다.
글로벌 관리자 및 로컬 관리자에 대한 인증서
로컬 관리자를 글로벌 관리자로 추가하면 로컬 관리자와 글로벌 관리자 간에 인증서를 교환하여 신뢰가 설정됩니다. 이러한 인증서는 글로벌 관리자에 등록된 각 사이트에도 복사됩니다. NSX 4.1.0부터 글로벌 관리자와의 신뢰를 설정하는 데 사용되는 인증서는 로컬 관리자가 글로벌 관리자에 등록할 때만 생성됩니다. 로컬 관리자가 NSX 페더레이션 환경 외부로 이동하면 동일한 인증서가 삭제됩니다.
각 장치에 대해 생성된 모든 NSX 페더레이션 특정 인증서 목록과 이러한 장치가 서로 교환하는 인증서에 대한 목록은 글로벌 관리자 및 로컬 관리자의 인증서 표를 참조하십시오.
| 글로벌 관리자 또는 로컬 관리자의 명명 규칙 | 용도 | 교체 가능 여부 | 기본 유효성 |
|---|---|---|---|
| 다음은 각 NSX 페더레이션 장치와 관련된 인증서입니다. | |||
| APH-AR certificate |
|
예, service_type=APH를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 10년 |
| GlobalManager |
|
예, service_type=GLOBAL_MANAGER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| Cluster certificate |
|
예, service_type=MGMT_CLUSTER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| API certificate |
|
예, service_type=API를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| LocalManager |
|
예, service_type=LOCAL_MANAGER를 사용합니다. 인증서 바꾸기 항목을 참조하십시오. | 825일 |
| LM과 GM은 클러스터, API 및 APH-AR 인증서를 공유합니다. CA에서 인증서에 서명한 경우 CA가 동기화되지만 해당 인증서는 동기화되지 않습니다. | |||
NSX 페더레이션에 대한 PI(주체 ID) 사용자
로컬 관리자를
글로벌 관리자로 추가하면 해당 역할이 있는 다음 PI 사용자가 생성됩니다.
| NSX 페더레이션 장치 | PI 사용자 이름 | PI 사용자 역할 |
|---|---|---|
| 글로벌 관리자 | LocalManagerIdentity 이 글로벌 관리자에 등록된 로컬 관리자마다 하나씩 있습니다. |
감사자 |
| 로컬 관리자 | GlobalManagerIdentity | 엔터프라이즈 관리자 |
| LocalManagerIdentity
동일한
글로벌 관리자에 등록된
로컬 관리자마다 하나씩 있습니다. UI에 표시되지 않기 때문에 모든
로컬 관리자 PI 사용자의 목록을 가져오려면 다음 API 명령을 입력합니다.
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
감사자 |
