系統會為 NSX 應用裝置之間通訊和外部通訊 (包括 NSX 聯盟 應用裝置) 建立必要的憑證。本主題介紹了各種憑證資訊
從 4.1.0 開始,引入了幾種在 3.2.x 中不存在的新憑證類型。例如,CCP、APH_TN 以及 CBM_CLUSTER_MANAGER 和 CBM_CORFU 憑證。這些是 EAL4 要求的一部分,用於使憑證可更換。您會在升級過程中看到這些憑證類型。
備註: 在聯盟
NSX 部署中,源自其他位置的憑證將顯示在 [憑證] 窗格中。這些憑證顯示的名稱以「站台」開頭;例如,
站台憑證 L=PA,ST=CA,C=US、
站台憑證 UID=369cd66c-...,或者僅使用其 UUID
637a2ebf-84d1-4548-a0ba-51d9420672ff。如果這些憑證即將到期,請在儲存其對應私密金鑰的原始站台上更換這些憑證。您可以在 UI 上的
使用者欄位或 API 中找到該資訊。如果更換任何原始
全域管理員或
本機管理員上的憑證,系統會自動在整個聯盟部署中同步這些憑證。
NSX Manager 的 [憑證] 表反映了憑證詳細資料,包括憑證僅對新部署有效的時間範圍。升級期間不會產生新憑證,因此憑證有效期日期將反映先前 NSX 版本的預設憑證到期日期。若要將現有自我簽署憑證更換為 CA 簽署憑證,請參閱透過 API 更換憑證中的詳細資料。若要瞭解安全性合規性事件,請參閱 NSX 事件目錄。
憑證的命名慣例 | 用途 | 是否可使用 service_type 更換 | 預設有效性 |
---|---|---|---|
APH (也稱為 APH_AR) | 用於跨通訊的應用裝置 Proxy Hub (APH) 伺服器公開金鑰和非同步複寫器 (用於聯盟) | 是,可使用 service_type=APH。 | 825 天 |
APH_TN | 傳輸節點 (TN) 和叢集間通訊的應用裝置 Proxy 中樞 (APH) 憑證 | 是,可使用 service_type=APH_TN。 | 825 天 |
API | NSX Manager 節點的 API 伺服器憑證 | 是,可使用 service_type=API。 | 825 天 |
CCP | 用於與傳輸節點通訊的控制組態平面憑證 | 是,請使用 service_type=CCP。 | 10 年 |
MGMT_CLUSTER (也稱為 VIP) | VIP 使用的 API 伺服器憑證 | 是,可使用 service_type=MGMT_CLUSTER。 | 825 天 |
CBM_CLUSTER_MANAGER | Corfu 用戶端憑證 | 是,可使用 service_type=CBM_CLUSTER_MANAGER。 | 100 年 |
CBM_CORFU | Corfu 伺服器憑證 | 是,可使用 service_type=CBM_CORFU。 | 在 4.1.0 中,為 825 天。從 4.1.1 開始,為 100 年。 |
用於 NSX 聯盟通訊的憑證
依預設,全域管理員會使用自我簽署憑證,來與內部元件和已登錄的本機管理員通訊,以及對 NSX Manager UI 或 API 進行驗證。
您可以在 NSX Manager 中檢視外部 (UI/API) 和站台間的憑證。內部憑證無法檢視或編輯。
備註: 在
全域管理員中登錄
本機管理員之前,請不要啟用
本機管理員外部 VIP。如果需要在同一
本機管理員上使用
NSX 聯盟和 PKS,請先完成 PKS 工作以建立外部 VIP 和變更
本機管理員憑證,
之後再於
全域管理員上登錄
本機管理員。
全域管理員和本機管理員的憑證
將本機管理員新增到全域管理員後,您可以在本機管理員與全域管理員之間交換憑證,來建立信任。這些憑證也會複製到每個已向全域管理員登錄的站台。從 NSX 4.1.0 開始,僅當本機管理員向全域管理員登錄時,才會產生用來與全域管理員建立信任的憑證。如果本機管理員移出 NSX 聯盟環境,將會刪除該相同的憑證。
如需有關為每個應用裝置所建立的所有 NSX 聯盟特定憑證清單,以及這些應用裝置之間會彼此交換的憑證清單,請參閱「全域管理程式和本機管理程式的憑證」資料表:
全域管理員或本機管理員中的命名慣例 | 用途 | 可更換? | 預設有效性 |
---|---|---|---|
下列是每個 NSX 聯盟應用裝置專屬的憑證。 | |||
APH-AR certificate |
|
是,可使用 service_type=APH。請參閱透過 API 更換憑證。 | 10 年 |
GlobalManager |
|
是,可使用 service_type=GLOBAL_MANAGER。請參閱透過 API 更換憑證。 | 825 天 |
Cluster certificate |
|
是,可使用 service_type=MGMT_CLUSTER。請參閱透過 API 更換憑證。 | 825 天 |
API certificate |
|
是,可使用 service_type=API。請參閱透過 API 更換憑證。 | 825 天 |
LocalManager |
|
是,可使用 service_type=LOCAL_MANAGER。請參閱透過 API 更換憑證。 | 825 天 |
LM 和 GM 之間會共用其叢集、API 和 APH-AR 憑證。如果憑證是 CA 簽署憑證,則會將 CA 同步,但不會同步該憑證。 |
NSX 聯盟的主體身分識別 (PI) 使用者
將
本機管理員新增到
全域管理員後,將建立以下具有對應角色的 PI 使用者。
NSX 聯盟 應用裝置 | PI 使用者名稱 | PI 使用者角色 |
---|---|---|
全域管理程式 | LocalManagerIdentity 向此全域管理員登錄的每個本機管理員各有一個。 |
稽核員 |
本機管理員 | GlobalManagerIdentity | 企業管理員 |
LocalManagerIdentity
向同一
全域管理員登錄的每個
本機管理員各有一個。由於在 UI 中看不見
本機管理員 PI 使用者,若要取得完整清單,請輸入以下 API 命令:
GET https://<local-mgr>/api/v1/trust-management/principal-identities |
稽核員 |