系統會為 NSX 應用裝置之間通訊和外部通訊 (包括 NSX 聯盟 應用裝置) 建立必要的憑證。本主題介紹了各種憑證資訊

從 4.1.0 開始,引入了幾種在 3.2.x 中不存在的新憑證類型。例如,CCP、APH_TN 以及 CBM_CLUSTER_MANAGER 和 CBM_CORFU 憑證。這些是 EAL4 要求的一部分,用於使憑證可更換。您會在升級過程中看到這些憑證類型。
備註: 在聯盟 NSX 部署中,源自其他位置的憑證將顯示在 [憑證] 窗格中。這些憑證顯示的名稱以「站台」開頭;例如, 站台憑證 L=PA,ST=CA,C=US站台憑證 UID=369cd66c-...,或者僅使用其 UUID 637a2ebf-84d1-4548-a0ba-51d9420672ff。如果這些憑證即將到期,請在儲存其對應私密金鑰的原始站台上更換這些憑證。您可以在 UI 上的 使用者欄位或 API 中找到該資訊。如果更換任何原始 全域管理員本機管理員上的憑證,系統會自動在整個聯盟部署中同步這些憑證。

NSX Manager 的 [憑證] 表反映了憑證詳細資料,包括憑證僅對新部署有效的時間範圍。升級期間不會產生新憑證,因此憑證有效期日期將反映先前 NSX 版本的預設憑證到期日期。若要將現有自我簽署憑證更換為 CA 簽署憑證,請參閱透過 API 更換憑證中的詳細資料。若要瞭解安全性合規性事件,請參閱 NSX 事件目錄

表 1. NSX Manager 的憑證
憑證的命名慣例 用途 是否可使用 service_type 更換 預設有效性
APH (也稱為 APH_AR) 用於跨通訊的應用裝置 Proxy Hub (APH) 伺服器公開金鑰和非同步複寫器 (用於聯盟) 是,可使用 service_type=APH。 825 天
APH_TN 傳輸節點 (TN) 和叢集間通訊的應用裝置 Proxy 中樞 (APH) 憑證 是,可使用 service_type=APH_TN。 825 天
API NSX Manager 節點的 API 伺服器憑證 是,可使用 service_type=API。 825 天
CCP 用於與傳輸節點通訊的控制組態平面憑證 是,請使用 service_type=CCP。 10 年
MGMT_CLUSTER (也稱為 VIP) VIP 使用的 API 伺服器憑證 是,可使用 service_type=MGMT_CLUSTER。 825 天
CBM_CLUSTER_MANAGER Corfu 用戶端憑證 是,可使用 service_type=CBM_CLUSTER_MANAGER。 100 年
CBM_CORFU Corfu 伺服器憑證 是,可使用 service_type=CBM_CORFU。 在 4.1.0 中,為 825 天。從 4.1.1 開始,為 100 年。

用於 NSX 聯盟通訊的憑證

依預設,全域管理員會使用自我簽署憑證,來與內部元件和已登錄的本機管理員通訊,以及對 NSX Manager UI 或 API 進行驗證。

您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間的憑證。內部憑證無法檢視或編輯。

備註:全域管理員中登錄 本機管理員之前,請不要啟用 本機管理員外部 VIP。如果需要在同一 本機管理員上使用 NSX 聯盟和 PKS,請先完成 PKS 工作以建立外部 VIP 和變更 本機管理員憑證, 之後再於 全域管理員上登錄 本機管理員

全域管理員本機管理員的憑證

本機管理員新增到全域管理員後,您可以在本機管理員全域管理員之間交換憑證,來建立信任。這些憑證也會複製到每個已向全域管理員登錄的站台。從 NSX 4.1.0 開始,僅當本機管理員全域管理員登錄時,才會產生用來與全域管理員建立信任的憑證。如果本機管理員移出 NSX 聯盟環境,將會刪除該相同的憑證。

如需有關為每個應用裝置所建立的所有 NSX 聯盟特定憑證清單,以及這些應用裝置之間會彼此交換的憑證清單,請參閱「全域管理程式和本機管理程式的憑證」資料表:

表 2. 全域管理員本機管理員的憑證
全域管理員本機管理員中的命名慣例 用途 可更換? 預設有效性
下列是每個 NSX 聯盟應用裝置專屬的憑證。
APH-AR certificate
  • 適用於全域管理員和每個本機管理員
  • 用於使用 AR 通道 (非同步複製器通道) 的站台間通訊。
是,可使用 service_type=APH。請參閱透過 API 更換憑證 10 年
GlobalManager
  • 對於全域管理員
  • 全域管理員的 PI 憑證。
是,可使用 service_type=GLOBAL_MANAGER。請參閱透過 API 更換憑證 825 天
Cluster certificate
  • 適用於全域管理員和每個本機管理員
  • 用於與全域管理員本機管理員叢集的 VIP 進行 UI/API 通訊。
是,可使用 service_type=MGMT_CLUSTER。請參閱透過 API 更換憑證 825 天
API certificate
  • 適用於全域管理員和每個本機管理員
  • 用於與個別全域管理員以及新增到全域管理員的每個位置的本機管理員節點,進行 UI/API 通訊。
是,可使用 service_type=API。請參閱透過 API 更換憑證 825 天
LocalManager
  • NSX 4.1 開始,僅當本機管理員伺服器位於 NSX 聯盟環境中時,才會產生憑證。如果本機管理員移出 NSX 聯盟環境,將刪除該憑證。
  • 此特定本機管理員的 PI 憑證。
是,可使用 service_type=LOCAL_MANAGER。請參閱透過 API 更換憑證 825 天
LM 和 GM 之間會共用其叢集、API 和 APH-AR 憑證。如果憑證是 CA 簽署憑證,則會將 CA 同步,但不會同步該憑證。

NSX 聯盟的主體身分識別 (PI) 使用者

本機管理員新增到 全域管理員後,將建立以下具有對應角色的 PI 使用者。
表 3. 已針對 NSX 聯盟建立的主體身分識別 (PI) 使用者
NSX 聯盟 應用裝置 PI 使用者名稱 PI 使用者角色
全域管理程式 LocalManagerIdentity

向此全域管理員登錄的每個本機管理員各有一個。

稽核員
本機管理員 GlobalManagerIdentity 企業管理員
LocalManagerIdentity
向同一 全域管理員登錄的每個 本機管理員各有一個。由於在 UI 中看不見 本機管理員 PI 使用者,若要取得完整清單,請輸入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities
稽核員