SSL 实验室测试显示在 NSX Advanced Load Balancer 上配置的虚拟服务为 B 级。

SSL 实验室为虚拟服务提供的 B 级结果表明存在以下问题:

  • 最新客户端(Web 浏览器)的安全性不够高

  • 旧客户端使用过时的安全算法

  • 较小的配置问题

解决方案

将与虚拟服务关联的 RSA 证书替换为椭圆曲线 (EC) 证书。使用 RSA 证书而不是 ECC 证书将会降低 SSL 实验室测试分数,原因如下:

  • ECC 证书比 RSA 证书更安全。

  • ECC 使用更小的算法生成比 RSA 密钥更强的 ECC 密钥。

RSA 被视为不如 ECC 安全,但与更广泛的旧浏览器更兼容。ECC 较新、计算成本更低并且通常更安全,但还没有被所有客户端(Web 浏览器)接受。

NSX Advanced Load Balancer 允许为虚拟服务同时配置两个证书,一个是 RSA 证书,另一个是 ECC 证书。这样,NSX Advanced Load Balancer 就可以与客户端协商最佳的算法或密码。如果客户端支持 EC 证书,NSX Advanced Load Balancer 优先使用椭圆曲线数字签名算法 (Elliptic Curve Digital Signature Algorithm, ECDSA)。ECDSA 提供了支持完美前向保密 (PFS) 的额外好处。PFS 以非常小的额外计算成本为虚拟服务提供更高的安全性。

有关 NSX Advanced Load Balancer 上的 SSL 证书的更多信息,请参见 SSL 证书