场景：SSL 客户端和服务器身份验证

此场景使用“HTTPS 端到端”应用程序配置文件类型进行 SSL 客户端和服务器身份验证。

客户端身份验证

客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭，并请求提供客户端证书。

添加由根 CA 签名的 Web 服务器证书。有关详细信息，请参见场景：导入 SSL 证书。

创建一个 HTTPS 应用程序配置文件。


版本	过程
NSX 6.4.5 和更高版本	在应用程序配置文件类型 (Application Profile Type)下拉菜单中，选择 HTTPS 端到端 (HTTPS End-to-End)。单击客户端 SSL (Client SSL) > CA 证书 (CA Certificates)。选择您在步骤 1 中添加的 Web 服务器证书。在客户端身份验证 (Client Authentication)下拉菜单中，选择要求 (Required)。
NSX 6.4.4 和更低版本	在类型 (Type)下拉菜单中，选择 HTTPS。单击虚拟服务器证书 (Virtual Server Certificates) > CA 证书 (CA Certificates)。CA 将验证客户端证书。选择您在步骤 1 中添加的 Web 服务器证书。在客户端身份验证 (Client Authentication)下拉菜单中，选择要求 (Required)。

创建一个虚拟服务器。有关指定虚拟服务器参数的信息，请参见场景：导入 SSL 证书。

注：在 NSX 6.4.4 和更低版本中，如果在应用程序配置文件中禁用了启用池端 SSL (Enable Pool Side SSL) 选项，那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了启用池端 SSL (Enable Pool Side SSL) 选项，那么所选池由 HTTPS 服务器组成。
在浏览器中添加由根 CA 签名的客户端证书。
1. 转到网站 https://www.sslshopper.com/ssl-converter.html。
2. 将证书和私钥转换为 pfx 文件。有关证书和私钥的完整示例，请参见示例：证书和私钥主题。
3. 在浏览器中导入此 pfx 文件。

服务器身份验证

客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭。Edge 建立与服务器的新 HTTPS 连接，并请求和验证服务器证书。

NSX Edge 接受特定密码。

添加与用于服务器证书身份验证的根 CA 证书链在一起的 Web 服务器证书。有关详细信息，请参见场景：导入 SSL 证书。

创建一个 HTTPS 应用程序配置文件。


版本	过程
NSX 6.4.5 和更高版本	在应用程序配置文件类型 (Application Profile Type)下拉菜单中，选择 HTTPS 端到端 (HTTPS End-to-End)。单击服务器 SSL (Server SSL) > CA 证书 (CA Certificates)。在密码 (Cypher)旁边，单击编辑 (Edit) () 图标，然后选择密码。启用服务器身份验证 (Server Authentication)选项。选择您在步骤 1 中添加的 CA 证书。
NSX 6.4.4 和更低版本	在类型 (Type)下拉菜单中，选择 HTTPS。选中启用池端 SSL (Enable Pool Side SSL) 复选框。单击池证书 (Pool Certificates) > CA 证书 (CA Certificates)。CA 将验证来自后端 HTTPS 服务器的客户端证书。选中服务器身份验证 (Server Authentication)复选框。选择您在步骤 1 中添加的 CA 证书。从密码 (Cipher)列表中，选择所需的密码。注：如果您的首选密码不在已审批密码列表中，则会重置为`默认值`。从旧的 NSX 版本升级后，如果密码为空，或者如果密码不在旧版本的已审批密码列表中，则会重置为`默认值`。在客户端身份验证 (Client Authentication)下拉菜单中，选择要求 (Required)。

创建一个虚拟服务器。有关指定虚拟服务器参数的信息，请参见场景：导入 SSL 证书。

注：在 NSX 6.4.4 和更低版本中，如果在应用程序配置文件中禁用了启用池端 SSL (Enable Pool Side SSL) 选项，那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了启用池端 SSL (Enable Pool Side SSL) 选项，那么所选池由 HTTPS 服务器组成。