SSL 配置文件配置与应用程序无关的 SSL 属性(如密码列表)并在多个应用程序中重用这些列表。负载均衡器充当客户端和服务器时的 SSL 属性有所不同,因此支持使用单独的客户端和服务器端 SSL 配置文件。

注: SSL 配置文件在 NSX-T Data Center Limited Export 版本中不受支持。

客户端 SSL 配置文件是指负载均衡器充当 SSL 服务器并终止客户端 SSL 连接。服务器端 SSL 配置文件是指负载均衡器充当客户端并与服务器建立连接。

您可以在客户端和服务器端 SSL 配置文件上指定密码列表。

通过 SSL 会话缓存,SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。默认情况下,将在客户端和服务器端禁用 SSL 会话缓存。

SSL 会话票证是另一种允许 SSL 客户端和服务器重用先前商定会话参数的机制。在 SSL 会话票证中,客户端和服务器商定是否在握手交换期间支持 SSL 会话票证。如果二者均支持,则服务器可以向客户端发送包含加密 SSL 会话参数的 SSL 票证。客户端可以在后续连接中使用该票证来重用会话。SSL 会话票证在客户端处于启用状态,但在服务器端处于禁用状态。

图 1. SSL 卸载
""
图 2. 端到端 SSL
""

前提条件

确认在 NSX Manager 用户界面中选择了管理器模式。请参见NSX Manager。如果看不到策略管理器模式按钮,请参见配置用户界面设置

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > 负载均衡 > 配置文件 > SSL 配置文件
  3. 创建一个客户端 SSL 配置文件。
    1. 从下拉菜单中选择添加 > 客户端 SSL
    2. 输入客户端 SSL 配置文件的名称和描述。
    3. 分配要包括在客户端 SSL 配置文件中的 SSL 密码。
      此外,还可以创建自定义 SSL 密码。
    4. 单击箭头将密码移至选定部分。
    5. 单击协议和会话选项卡。
    6. 选择要包括在客户端 SSL 配置文件中的 SSL 协议。
      默认情况下,将启用 SSL 协议版本 TLS1.1 和 TLS1.2。TLS1.0 也受支持,但默认情况下处于禁用状态。
    7. 单击箭头将协议移至选定部分。
    8. 填写 SSL 协议详细信息。
      您也可以接受 SSL 配置文件的默认设置。
      选项 描述
      会话缓存 通过 SSL 会话缓存,SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。
      会话缓存条目超时 输入缓存超时(秒)以指定 SSL 会话参数必须保留并可重用的时长。
      首选服务器密码 切换该按钮,使服务器可以从其支持的列表中选择第一个受支持的密码。

      在 SSL 握手期间,客户端向服务器发送经过排序的受支持密码列表。

    9. 单击确定
  4. 创建一个服务器 SSL 配置文件。
    1. 从下拉菜单中选择添加 > 服务器端 SSL
    2. 输入服务器 SSL 配置文件的名称和描述。
    3. 选择要包括在服务器 SSL 配置文件中的 SSL 密码。
      此外,还可以创建自定义 SSL 密码。
    4. 单击箭头将密码移至选定部分。
    5. 单击协议和会话选项卡。
    6. 选择要包括在服务器 SSL 配置文件中的 SSL 协议。
      默认情况下,将启用 SSL 协议版本 TLS1.1 和 TLS1.2。TLS1.0 也受支持,但默认情况下处于禁用状态。
    7. 单击箭头将协议移至选定部分。
    8. 接受默认会话缓存设置。
      通过 SSL 会话缓存,SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。
    9. 单击确定