此场景使用“HTTPS 端到端”应用程序配置文件类型进行 SSL 客户端和服务器身份验证。

客户端身份验证

客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭,并请求提供客户端证书。

  1. 添加由根 CA 签名的 Web 服务器证书。有关详细信息,请参见场景:导入 SSL 证书
  2. 创建一个 HTTPS 应用程序配置文件。
    版本 过程
    NSX 6.4.5 和更高版本
    1. 应用程序配置文件类型 (Application Profile Type)下拉菜单中,选择 HTTPS 端到端 (HTTPS End-to-End)
    2. 单击客户端 SSL (Client SSL) > CA 证书 (CA Certificates)
    3. 选择您在步骤 1 中添加的 Web 服务器证书。
    4. 客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)
    NSX 6.4.4 和更低版本
    1. 类型 (Type)下拉菜单中,选择 HTTPS
    2. 单击虚拟服务器证书 (Virtual Server Certificates) > CA 证书 (CA Certificates)。CA 将验证客户端证书。
    3. 选择您在步骤 1 中添加的 Web 服务器证书。
    4. 客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)
  3. 创建一个虚拟服务器。有关指定虚拟服务器参数的信息,请参见场景:导入 SSL 证书
    注:NSX 6.4.4 和更低版本中,如果在应用程序配置文件中禁用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTPS 服务器组成。
  4. 在浏览器中添加由根 CA 签名的客户端证书。
    1. 转到网站 https://www.sslshopper.com/ssl-converter.html
    2. 将证书和私钥转换为 pfx 文件。有关证书和私钥的完整示例,请参见示例:证书和私钥主题。已选择要转换为 PFX 格式的客户端证书文件、私钥文件和链证书文件。
    3. 在浏览器中导入此 pfx 文件。

服务器身份验证

客户端通过 HTTPS 访问 Web 应用程序。HTTPS 会话在 Edge VIP 上关闭。Edge 建立与服务器的新 HTTPS 连接,并请求和验证服务器证书。

NSX Edge 接受特定密码。

  1. 添加与用于服务器证书身份验证的根 CA 证书链在一起的 Web 服务器证书。有关详细信息,请参见场景:导入 SSL 证书
  2. 创建一个 HTTPS 应用程序配置文件。
    版本 过程
    NSX 6.4.5 和更高版本
    1. 应用程序配置文件类型 (Application Profile Type)下拉菜单中,选择 HTTPS 端到端 (HTTPS End-to-End)
    2. 单击服务器 SSL (Server SSL) > CA 证书 (CA Certificates)
    3. 密码 (Cypher)旁边,单击编辑 (Edit) (编辑) 图标,然后选择密码。
    4. 启用服务器身份验证 (Server Authentication)选项。
    5. 选择您在步骤 1 中添加的 CA 证书。
    NSX 6.4.4 和更低版本
    1. 类型 (Type)下拉菜单中,选择 HTTPS
    2. 选中启用池端 SSL (Enable Pool Side SSL) 复选框。
    3. 单击池证书 (Pool Certificates) > CA 证书 (CA Certificates)。CA 将验证来自后端 HTTPS 服务器的客户端证书。
    4. 选中服务器身份验证 (Server Authentication)复选框。
    5. 选择您在步骤 1 中添加的 CA 证书。
    6. 密码 (Cipher)列表中,选择所需的密码。
      注:

      如果您的首选密码不在已审批密码列表中,则会重置为默认值

      从旧的 NSX 版本升级后,如果密码为空,或者如果密码不在旧版本的已审批密码列表中,则会重置为默认值

    7. 客户端身份验证 (Client Authentication)下拉菜单中,选择要求 (Required)
  3. 创建一个虚拟服务器。有关指定虚拟服务器参数的信息,请参见场景:导入 SSL 证书
    注:NSX 6.4.4 和更低版本中,如果在应用程序配置文件中禁用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTP 服务器组成。如果在应用程序配置文件中启用了 启用池端 SSL (Enable Pool Side SSL) 选项,那么所选池由 HTTPS 服务器组成。