现在,您可以对 TLS 检查信任链使用内置的可信证书颁发机构 (CA) 包,以支持高级安全应用程序,如 IDS/IPS、URL 筛选、恶意软件和粒度应用程序 ID。

您可以在内部将内置 CA 包 (default_trusted_public_ca_bundle) 用于网关防火墙的 TLS 检查和解密。

对于外部服务,TLS 代理需要配置的受信任 CA 包来验证任何外部服务向其提供的证书。您可以为 External_Decryption_Profile.trusted_ca_bundles 配置一个或多个 CA 包,其中每个包都是一个证书列表。您必须至少配置一个 CA 包。通常,外部服务使用已知的 CA,例如 Verisign 和 DigiCert。因此,为了便于配置,NSX-T Data Center 包含内置 default_trusted_public_ca_bundle,其中包含广泛使用的 CA 证书列表,类似于操作系统预安装常用的 CA 证书。您可以更新此包,也可以创建自己的 CA 包,并用它来代替此包。

您可以在 NSX-T Data Center 中执行以下任务。您可以选择 系统 > 证书 > 受信任的 CA 包来查找受信任的 CA 包。
  • 使用默认的受信任 CA 包验证 TLS 检查和解密。
  • 使用查看所有证书按钮可查看 CA 包中的所有证书,包括筛选基本详细信息。
  • 使用查看所有证书按钮可搜索已过期、即将过期、有效、已使用和未使用的 CA 包。
  • 编辑 CA 包显示名称,并在包中添加或移除证书。
  • 导出 CA 包以包含在其他设备上。
  • 在本地复制 CA 包路径。
  • 使用导入 CA 包按钮导入新的受信任 CA 包。