可以设置 NSX Advanced Load Balancer 以与 Venafi Trust Protection Platform™ 集成在一起,以实现 SSL 和 TLS 证书生命周期管理自动化。 所有证书将通过 TPP 进行保护和控制。 该过程对 NSX Advanced Load Balancer Controller 是透明的。
Venafi 的最低版本是 Trust Protection Platform 16.3。
配置
Venafi Trust Protection Platform 利用 NSX Advanced Load Balancer REST API 进行所有通信,包括创建和更新 SSL 证书和密钥。 无需在 NSX Advanced Load Balancer 上进行任何配置更改。TPP 需要使用用户名、密码和控制器 IP 地址。 如果控制器配置了浮动控制器集群 IP,则必须使用该地址。 如果没有配置浮动 IP,则可以使用任何控制器的 IP 地址。
要获得 Trust Protection Platform 配置方面的帮助,请与 Venafi 支持团队联系。您可以从该团队获取所需驱动程序的最新版本以及 TPP 配置说明。
工作流
在创建新的应用程序或需要新的 SSL/TLS 证书时,请使用以下工作流。
从 Trust Protection Platform 中,为 NSX Advanced Load Balancer 创建一个新证书。在后台,将发生以下情况:
TPP 发送在 NSX Advanced Load Balancer 上生成并导入 CSR 所需的 API 调用。
TPP 将 CSR 转发到配置的证书颁发机构。
TPP 从 CA 接收签名证书和密钥。
TPP 将证书和密钥以及任何所需的链证书推送到 NSX Advanced Load Balancer。
从 NSX Advanced Load Balancer 中,创建一个新的应用程序虚拟服务并附加证书。
如果对控制器收到的证书进行任何后续更新,这些更新将自动且透明地推送到使用该证书的服务引擎。
TPP 将学习虚拟服务名称到证书的映射。 它自动处理证书和链证书续订。
IP 访问
作为最佳做法,您可以将 NSX Advanced Load Balancer 管理 UI 锁定到已知的 IP 地址。如果已完成该操作,请确保将 Trust Protection Platform 的源 IP 地址包含在 NSX Advanced Load Balancer 允许的 IP 列表中以进行管理访问。
管理访问
TPP 可以使用具有所需租户的 SSL/TLS 证书的写入访问权限的任何管理员帐户。 最佳做法是创建新角色以进行 SSL 管理,并且仅启用 SSL/TLS 证书的写入访问权限。 创建一个映射到该角色的新管理员帐户。 这会限制公开该帐户,并提供更好的审核日志。
载入发现
载入发现功能自动执行将证书从网络设备导入到 Trust Protection Platform 的过程,您可以在其中监控、验证和置备证书。
如果在具有 SSL 支持的控制器上设置虚拟服务,并且在 Venafi TPP 上具有空白的设置或过时的配置,则可以使用载入发现作业通过预定义的参数值为 Venafi TPP 中的虚拟服务生成相应的证书和应用程序对象。这样,就可以在完成发现步骤后立即进行置备。可以从 Venafi TPP 中定期自动运行该作业。
置备
置备过程是指,根据 NSX Advanced Load Balancer Adaptable App 参数,将 Venafi TPP 上的 Adaptable App 中的附加证书推送到相应租户中的相应虚拟服务。在 Venafi TPP 中续订证书时,将自动触发置备。
以下是两种置备类型:
集中
在集中置备中,由于完全由 Venafi 负责生成证书,因此,在推送时已准备好证书。
新证书将上载到控制器中,并使用以下命名约定:<公用名称><采用 yyMMMdd 格式的有效期><序列号的最后 4 位>。
远程
在远程置备中,CSR 由 NSX Advanced Load Balancer 生成并使用 API 调用导入到 Venafi 中,然后 Venafi 使用 CSR 生成证书。
新证书将上载到控制器中,并使用以下命名约定:<公用名称>RGEN<采用 yyMMdd-HHmmss 格式的当前日期/时间>。
在创建新的应用程序或需要新的 SSL/TLS 证书时,请使用以下工作流。
从 Trust Protection Platform 中,为 NSX Advanced Load Balancer 创建一个新证书。在后台,将发生以下情况:
TPP 发送在 NSX Advanced Load Balancer 上生成并导入 CSR 所需的 API 调用。
TPP 将 CSR 转发到配置的证书颁发机构。
TPP 从 CA 接收签名证书和密钥。
TPP 将证书和密钥以及任何所需的链证书推送到 NSX Advanced Load Balancer。
从 NSX Advanced Load Balancer 中,创建一个新的应用程序虚拟服务并附加证书。
如果对控制器收到的证书进行任何后续更新,这些更新将自动且透明地推送到使用该证书的服务引擎。
TPP 将学习虚拟服务名称到证书的映射。它自动处理证书和链证书续订。