NSX Advanced Load Balancer 支持使用证书吊销列表 (CRL)。CRL 是一个由证书颁发机构 (CA) 颁发的文件,其中列出了由 CA 颁发但已吊销的证书。在客户端向虚拟服务发送 SSL 连接请求时,NSX Advanced Load Balancer 可以检查虚拟服务的 PKI 配置文件中的 CA 和 CRL 以验证客户端证书是否仍然有效。
PKI 配置文件具有一个完整链 CRL 检查选项:启用 CRL 检查。启用或停用完整链 CRL 的影响如下所示:
完整链 CRL 检查状态 |
描述 |
|---|---|
已停用 |
默认情况下,如果在虚拟服务使用的 HTTP 配置文件中启用了客户端证书验证,则虚拟服务使用的 PKI 配置文件必须至少包含一个 CRL,该 CRL 是由对客户端证书进行签名的 CA 颁发的。 要使客户端通过证书验证,配置文件中的 CRL 必须来自对客户端提供的证书进行签名的同一 CA,并且该证书不能在 CRL 中作为吊销的证书列出。 |
已启用 |
为了更严格地进行证书验证,请在 PKI 配置文件中启用 CRL 检查。在这种情况下,NSX Advanced Load Balancer 要求 PKI 配置文件包含客户端信任链中的每个中间证书的 CRL。 要使客户端通过证书验证,配置文件必须包含来自信任链中的每个中间 CA 的 CRL,并且该证书不能在任何 CRL 中作为吊销的证书列出。如果配置文件缺少任何中间 CA 的 CRL,或者该证书在其中的任何 CRL 中作为吊销的证书列出,则会拒绝客户端向虚拟服务发送的 SSL 会话请求。 |
PKI 配置文件中的另一个选项(忽略对等证书链)控制 NSX Advanced Load Balancer 如何为客户端建立信任链,具体来说是否允许使用客户端提供的中间证书。如果启用了完整链 CRL 检查,PKI 配置文件必须包含用于建立给定客户端的信任链的每个证书的签名 CA 的 CRL,而无论中间证书来自客户端还是来自 PKI 配置文件。
以下是一个启用了 CRL 检查的 PKI 配置文件示例。该配置文件包含组成服务器证书信任链的中间证书和根证书。该配置文件还包含来自服务器证书和中间证书的颁发机构的 CRL。www.root.client.com CRL 用于验证证书 www.intermediate.client.com 是否有效。同样,www.intermediate.client.com CRL 用于验证客户端(叶)证书 www.client.client.com 是否有效。
启用完整链 CRL 检查
以下是启用完整链 CRL 检查的步骤:
导航到。
单击创建。
选择启用 CRL 检查。
如果创建新的配置文件,请指定名称并添加密钥、证书和 CRL 文件。确保配置文件包含信任链中的每个中间 CA 的 CRL。
单击保存。
