通过第 7 层虚拟服务器,您可以选择配置负载均衡器持久性配置文件、客户端 SSL 配置文件和服务器端 SSL 配置文件。
注: SSL 配置文件在
NSX-T Data Center Limited Export 版本中不受支持。
如果在虚拟服务器上配置了客户端 SSL 配置文件绑定,而不是服务器端 SSL 配置文件绑定,则虚拟服务器在 SSL 终止模式下运行,该模式与客户端和服务器分别具有加密连接和明文连接。如果同时配置了客户端和服务器端 SSL 配置文件绑定,则虚拟服务器在 SSL 代理模式下运行,该模式与客户端和服务器具有加密连接。
目前不支持在不关联客户端 SSL 配置文件绑定的情况下关联服务器端 SSL 配置文件绑定。如果客户端和服务器端 SSL 配置文件绑定不与虚拟服务器相关联且应用程序基于 SSL,则虚拟服务器在 SSL 非感知模式下运行。在这种情况下,必须为第 4 层配置虚拟服务器。例如,虚拟服务器可与 Fast TCP 配置文件相关联。
过程
- 打开第 7 层虚拟服务器。
- 跳到“负载均衡配置文件”页面。
- 切换“持久性”按钮以启用该配置文件。
持久性配置文件允许将相关的客户端连接发送到相同服务器。
- 选择“源 IP 持久性”或“Cookie 持久性”配置文件。
- 从下拉菜单中选择现有持久性配置文件。
- 单击下一步。
- 切换“客户端 SSL”按钮以启用该配置文件。
客户端 SSL 配置文件绑定允许对要与同一虚拟服务器相关联的不同主机名使用多个证书。
将自动填充关联的客户端 SSL 配置文件。
- 从下拉菜单中选择一个默认证书。
如果服务器不将多个主机名托管在同一 IP 地址上或客户端不支持服务器名称指示 (SNI) 扩展,则会使用此证书。
- 选择可用的 SNI 证书,然后单击箭头将该证书移至选定部分。
- (可选) 切换“强制客户端身份验证”以启用此菜单项。
- 选择可用的 CA 证书,然后单击箭头将该证书移至选定部分。
- 设置证书链深度以验证服务器证书链深度。
- 选择可用的 CRL,然后单击箭头将该证书移至选定部分。
可以将 CRL 配置为禁止已损坏的服务器证书。
- 单击下一步。
- 切换“服务器端 SSL”按钮以启用该配置文件。
将自动填充关联的服务器端 SSL 配置文件。
- 从下拉菜单中选择一个客户端证书。
如果服务器不将多个主机名托管在同一 IP 地址上或客户端不支持服务器名称指示 (SNI) 扩展,则会使用客户端证书。
- 选择可用的 SNI 证书,然后单击箭头将该证书移至选定部分。
- (可选) 切换“服务器身份验证”以启用此菜单项。
服务器端 SSL 配置文件绑定指定是否必须验证在 SSL 握手期间提供给负载均衡器的服务器证书。启用验证后,服务器证书必须由其中一个可信 CA 签名,这些 CA 的自签名证书在同一服务器端 SSL 配置文件绑定中指定。
- 选择可用的 CA 证书,然后单击箭头将该证书移至选定部分。
- 设置证书链深度以验证服务器证书链深度。
- 选择可用的 CRL,然后单击箭头将该证书移至选定部分。
可以将 CRL 配置为禁止已损坏的服务器证书。服务器端上不支持 OCSP 和 OCSP 装订 (OCSP stapling)。
- 单击完成。