系統會為 NSX 應用裝置之間通訊和外部通訊 (包括 NSX 聯盟 應用裝置) 建立必要的憑證。

若要將現有自我簽署憑證更換為 CA 簽署憑證,請參閱取代憑證中的詳細資料。若要瞭解安全性合規性事件,請參閱 NSX 事件目錄

表 1. NSX Manager 的憑證
憑證的命名慣例 用途 是否可使用 service_type 更換 預設有效性
APH-AR 應用裝置 Proxy 中樞 (APH) 伺服器公開金鑰和非同步複製器 是,可使用 service_type=APH。 825 天
APH-TN 傳輸節點 (TN) 和叢集間通訊的應用裝置 Proxy 中樞 (APH) 憑證 是,可使用 service_type=APH_TN。 825 天
API (也稱為 tomcat) NSX Manager 節點的 API 伺服器憑證 是,可使用 service_type=API。 825 天
API-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_API。 100 年
AR-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_AR。 100 年
CCP-Corfu 用戶端 控制組態平面 Corfu 用戶端憑證 是,可使用 service_type=CBM_CCP。 100 年
叢集 (也稱為 mp-cluster) Corfu 用戶端憑證 是,可使用 service_type=MGMT_CLUSTER。 825 天
叢集管理程式-Corfu Corfu 用戶端憑證 是,可使用 service_type=CBM_CLUSTER_MANAGER。 100 年
CM 詳細目錄-Corfu 用戶端 Corfu 用戶端憑證

是,可使用 service_type=CBM_CM_INVENTORY。

100 年
Corfu 伺服器 Corfu 用戶端憑證 是,可使用 service_type=CBM_CORFU。 100 年
IDPS 報告-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_IDPS_REPORTING。 100 年
訊息管理程式-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_MESSAGING_MANAGER。 100 年
監控-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_MONITORING。 100 年
MP-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_MP。 100 年
站台管理程式-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_SITE_MANAGER 100 年
升級協調器-Corfu 用戶端 Corfu 用戶端憑證 是,可使用 service_type=CBM_UPGRADE_COORDINATOR。 100 年

用於 NSX 聯盟通訊的憑證

依預設,全域管理程式會使用自我簽署憑證,來與內部元件和已登錄的本機管理程式通訊,以及對 NSX Manager UI 或 API 進行驗證。

您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間的憑證。內部憑證無法檢視或編輯。

備註:全域管理程式中登錄 本機管理程式之前,請不要啟用 本機管理程式外部 VIP。如果需要在同一 本機管理程式上使用 NSX 聯盟和 PKS,請先完成 PKS 工作以建立外部 VIP 和變更 本機管理程式憑證, 之後再於 全域管理程式上登錄 本機管理程式

全域管理程式本機管理程式的憑證

本機管理程式新增到全域管理程式後,您可以在本機管理程式全域管理程式之間交換憑證,來建立信任。這些憑證也會複製到每個已向全域管理程式登錄的站台。從 NSX 4.1.0 開始,僅當本機管理程式全域管理程式登錄時,才會產生用來與全域管理程式建立信任的憑證。如果本機管理程式移出 NSX 聯盟環境,將會刪除該相同的憑證。

如需有關為每個應用裝置所建立的所有 NSX 聯盟特定憑證清單,以及這些應用裝置之間會彼此交換的憑證清單,請參閱「全域管理程式和本機管理程式的憑證」資料表:

表 2. 全域管理程式本機管理程式的憑證
全域管理程式本機管理程式中的命名慣例 用途 可更換? 預設有效性
下列是每個 NSX 聯盟應用裝置專屬的憑證。
APH-AR certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於使用 AR 通道 (非同步複製器通道) 的站台間通訊。
是,可使用 service_type=APH。請參閱取代憑證 10 年
GlobalManager
  • 對於全域管理程式
  • 全域管理程式的 PI 憑證。
是,可使用 service_type=GLOBAL_MANAGER。請參閱取代憑證 825 天
Cluster certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於與全域管理程式本機管理程式叢集的 VIP 進行 UI/API 通訊。
是,可使用 service_type=MGMT_CLUSTER。請參閱取代憑證 825 天
API certificate
  • 適用於全域管理程式和每個本機管理程式
  • 用於與個別全域管理程式以及新增到全域管理程式的每個位置的本機管理程式節點,進行 UI/API 通訊。
是,可使用 service_type=API。請參閱取代憑證 825 天
LocalManager
  • NSX 4.1 開始,僅當本機管理程式伺服器位於 NSX 聯盟環境中時,才會產生憑證。如果本機管理程式移出 NSX 聯盟環境,將刪除該憑證。
  • 此特定本機管理程式的 PI 憑證。
是,可使用 service_type=LOCAL_MANAGER。請參閱取代憑證 825 天
LM 和 GM 之間會共用其叢集、API 和 APH-AR 憑證。如果憑證是 CA 簽署憑證,則會將 CA 同步,但不會同步該憑證。

NSX 聯盟的主體身分識別 (PI) 使用者

本機管理程式新增到 全域管理程式後,將建立以下具有對應角色的 PI 使用者。
表 3. 已針對 NSX 聯盟建立的主體身分識別 (PI) 使用者
NSX 聯盟 應用裝置 PI 使用者名稱 PI 使用者角色
全域管理程式 LocalManagerIdentity

向此全域管理程式登錄的每個本機管理程式各有一個。

稽核員
本機管理程式 GlobalManagerIdentity 企業管理員
LocalManagerIdentity
向同一 全域管理程式登錄的每個 本機管理程式各有一個。由於在 UI 中看不見 本機管理程式 PI 使用者,若要取得完整清單,請輸入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
稽核員