NSX Advanced Load Balancer 支持终止客户端和虚拟服务之间的 SSL 连接以及在 NSX Advanced Load Balancer 和后端服务器之间启用加密。
包含接受的 SSL 版本列表和设置了优先级的 SSL 密码列表。要终止客户端 SSL 连接,必须将 SSL 配置文件和 SSL 证书分配给虚拟服务。要同时加密 NSX Advanced Load Balancer 和服务器之间的流量,必须为池分配 SSL 配置文件。通过基本模式创建新的虚拟服务时,将自动使用默认系统 SSL 配置文件。
每个 SSL 配置文件包含支持的 SSL 密码和版本的默认分组,可以将这些密码和版本与 RSA 和/或椭圆曲线证书一起使用。确保创建的任何新配置文件都包含适合将使用的证书类型的密码。NSX Advanced Load Balancer 附带的默认 SSL 配置文件针对安全性进行了优化,而不仅仅是优先使用最快的密码。
在创建新的 SSL/TLS 配置文件或使用现有配置文件时,需要在安全性、兼容性和计算成本之间进行各种平衡。例如:扩大接受的密码和 SSL 版本列表将会提高与客户端的兼容性,同时也可能会降低安全性。
注:
通过将多个 SSL 配置文件与单个虚拟服务相关联,NSX Advanced Load Balancer 可以满足客户端社区中更广泛的安全需求,并让服务引擎根据客户端的 IP 地址选择要使用的配置文件。
在创建没有 SSL 配置文件的虚拟服务时,必须默认使用 System-Standard-PFS SSL 配置文件。如果选择不安全的密码,将显示以下错误消息。
