此场景使用“HTTPS 端到端”应用程序配置文件类型进行 SSL 客户端和服务器身份验证。
客户端身份验证
客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭,并请求提供客户端证书。
- 添加由根 CA 签名的 Web 服务器证书。有关详细信息,请参见场景:导入 SSL 证书。
- 创建一个 HTTPS 应用程序配置文件。
版本 过程 NSX 6.4.5 和更高版本 - 在应用程序配置文件类型 (Application Profile Type)下拉菜单中,选择 HTTPS 端到端 (HTTPS End-to-End)。
- 单击 。
- 选择您在步骤 1 中添加的 Web 服务器证书。
- 在客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)。
NSX 6.4.4 和更低版本 - 在类型 (Type)下拉菜单中,选择 HTTPS。
- 单击 。CA 将验证客户端证书。
- 选择您在步骤 1 中添加的 Web 服务器证书。
- 在客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)。
- 创建一个虚拟服务器。有关指定虚拟服务器参数的信息,请参见场景:导入 SSL 证书。
注: 在 NSX 6.4.4 和更低版本中,如果在应用程序配置文件中禁用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTPS 服务器组成。
- 在浏览器中添加由根 CA 签名的客户端证书。
-
- 转到网站 https://www.sslshopper.com/ssl-converter.html。
- 将证书和私钥转换为 pfx 文件。有关证书和私钥的完整示例,请参见示例:证书和私钥主题。
- 在浏览器中导入此 pfx 文件。
服务器身份验证
客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭。Edge 建立与服务器的新 HTTPS 连接,并请求和验证服务器证书。
NSX Edge 接受特定密码。
- 添加与用于服务器证书身份验证的根 CA 证书链在一起的 Web 服务器证书。有关详细信息,请参见场景:导入 SSL 证书。
- 创建一个 HTTPS 应用程序配置文件。
版本 过程 NSX 6.4.5 和更高版本 - 在应用程序配置文件类型 (Application Profile Type)下拉菜单中,选择 HTTPS 端到端 (HTTPS End-to-End)。
- 单击 。
- 在密码 (Cypher)旁边,单击编辑 (Edit) () 图标,然后选择密码。
- 启用服务器身份验证 (Server Authentication)选项。
- 选择您在步骤 1 中添加的 CA 证书。
NSX 6.4.4 和更低版本 - 在类型 (Type)下拉菜单中,选择 HTTPS。
- 选中启用池端 SSL (Enable Pool Side SSL) 复选框。
- 单击 。CA 将验证来自后端 HTTPS 服务器的客户端证书。
- 选中服务器身份验证 (Server Authentication)复选框。
- 选择您在步骤 1 中添加的 CA 证书。
- 从密码 (Cipher)列表中,选择所需的密码。
注:
如果您的首选密码不在已审批密码列表中,则会重置为默认值。
从旧的 NSX 版本升级后,如果密码为空,或者如果密码不在旧版本的已审批密码列表中,则会重置为默认值。
- 在客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)。
- 创建一个虚拟服务器。有关指定虚拟服务器参数的信息,请参见场景:导入 SSL 证书。
注: 在 NSX 6.4.4 和更低版本中,如果在应用程序配置文件中禁用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTPS 服务器组成。