要创建或编辑 SSL 配置文件,请执行以下步骤:
-
单击 创建以显示一个窗口(如下面的屏幕截图所示)。在该窗口中,未选中 TLS1.3。
-
选中 TLS 1.3 选项将导致显示 早期数据选项。
-
如果选中 TLS 1.2 选项,将启用以下密码。
在 FIPS 运行模式和非 FIPS 运行模式下均支持 System-Standard 和 System-Standard-PFS SSL 配置文件中列出的所有密码。唯一的例外是 3DES 和 TLS1.3 密码,因为 FIPS 堆栈不支持 TLS1.3 协议。
UI 字段
SSL/TLS 名称:指定 SSL/TLS 配置文件的唯一名称。
类型:如果要将配置文件与虚拟服务关联,请选择应用程序;如果要将配置文件与控制器关联,请选择系统。
密码:可以从默认列表视图或字符串视图中选择密码。字符串视图是为了与 OpenSSL 格式的密码字符串保持兼容。在使用字符串视图时,NSX Advanced Load Balancer 不提供 SSL 评级,也不提供选定密码的分数。
SSL 评级:这是从列表中选择的密码的安全性、兼容性和性能的简单汇总。通常,密码可能具有出色的性能,但安全性非常低。SSL 评级尝试提供选定密码的一些结果信息。随着发现新的漏洞,NSX Advanced Load Balancer Networks 可能会经常更改某些密码的分数。这不会影响或更改现有的 NSX Advanced Load Balancer 部署,但它确实表示可能会更改配置文件分数和虚拟服务安全罚分以反映新信息。
版本:NSX Advanced Load Balancer 支持 SSL 3.0、TLS 1.0 和更高版本。不再支持旧的 SSL 2.0 协议。支持 TLS 1.3 协议。用户必须在密码列表中选择三种支持的 TLS 1.3 密码中的一种或多种密码,或者在字符串视图下面的密码套件选项中配置这些密码。
发送“关闭通知”警示:正常向客户端通知关闭了 SSL 会话。这类似于 TCP 执行 FIN/ACK 而不是 RST。
首选客户端密码排序:默认关闭,如果您希望使用客户端的排序,请将其设置为“开启”。
启用 SSL 会话重用:默认开启,在第一次通过 TCP 连接建立客户端的 SSL 会话后,该选项将保留会话。
SSL 会话过期时间:设置 SSL 会话过期之前的时间长度(以秒为单位)。
密码:在与客户端协商密码时,NSX Advanced Load Balancer 优先按列出的顺序选择密码。默认密码列表优先列出具有 PFS 的椭圆曲线,然后是安全性较低的非 PFS 密码和基于 RSA 的较慢密码。可以通过列表视图启用和停用密码以及重新排序。在字符串视图中,请通过 OpenSSL 格式手动输入密码字符串,在 OpenSSl.org 网站上介绍了该格式。您可以将 SSL/TLS 配置文件与 RSA 和椭圆曲线证书一起使用。这两种类型的证书可以使用不同类型的密码,因此,如果可以使用两种类型的证书,在配置文件中包含这两种证书类型的密码是至关重要的。与所有安全功能一样,NSX Advanced Load Balancer Networks 建议尽量了解安全动态特性并确保 NSX Advanced Load Balancer 始终是最新的。
密码套件:该选项专门配置 TLS 1.3 协议密码。目前,NSX Advanced Load Balancer 支持以下套件:
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
这些密码仅适用于 TLS 1.3 协议。旧密码套件不能与 TLS 1.3 协议一起使用。
早期数据:该选项允许 TLSv1.3 终止的应用程序发送应用程序数据(此处称为早期数据或 0-RTT 数据),而无需先等待 TLS 握手完成。这会在处理客户端请求之前节省客户端和服务器之间的一次完整往返时间。必须启用 SSL 会话重用才能使用早期数据选项。
NSX Advanced Load Balancer 支持在 SSL 配置文件中配置椭圆曲线加密 (ECC) 密码套件。