TLS 检查证书管理

NSX 上的 TLS 检查需要安全证书。要拦截、解密和加密 TLS 检查和其他高级安全应用程序的流量，您必须准备 TLS 代理，以便它可以充当 TLS 连接的透明代理。NSX Manager 需要这些证书才能在应用程序之间建立信任关系。

证书管理支持以下 TLS 检查选项。

导入现有证书或生成新的自签名或 CA 自签名 CSR（证书签名请求）。
导出现有证书。
导入或更新默认的受信任 CA 包。
导入或更新默认公共证书吊销列表 (CRL)。
对所有预定义筛选器选项进行高级筛选。
“证书”页面上的证书横幅已过期。
用颜色标记的有效或无效证书的通知。

有关这些选项的信息，请参见证书。

TLS 代理需要 CA 证书（也称为代理 CA）。NSX Manager 使用代理 CA 生成证书，以模拟拦截的连接中的端点。换句话说，这有助于伪装网站服务器上拦截的流量的证书。您可以选择以下两种类型的代理 CA 证书之一：

要生成模拟拦截的连接中端点的证书，TLS 代理需要 CA 证书（也称为代理 CA）。 NSX Manager 使用代理 CA。换句话说，这有助于伪装。您可以选择以下两种类型的代理 CA 证书之一：

自签名证书通常用于测试有限的不受信任的部署。此工作流首先是通过 CSR（证书签名请求），请求 NSX Manager 生成 CA 证书密钥对。然后，它向 NSX Manager 请求对 CSR 进行自签名。
颁发 CA 的企业对信任的从属 CA 证书进行签名。此工作流首先是通过 CSR 请求 NSX Manager 生成 CA 证书密钥对，下载 CSR，然后将 CSR 提交到 CA 颁发机构，从而接收签名证书。然后，它将签名的公共 CA 证书上载到 NSX Manager。上载可以包含证书链。证书链是新证书和根 CA 证书之间的中间签名证书。

可通过多种方法将新的 CA 证书上载到 NSX Manager：使用 UI 中的 TLS 向导；在 UI 中手动添加证书；或者使用 NSX API。有关详细信息，请参见导入 CA 证书。

受信任的 CA 包

设置后，这些 CA 证书将分发到运行 TLS 代理的节点。您可以上载多个不同名称的 CA 证书包。TLS 代理使用的每个 CA 包都会在解密操作配置文件中进行配置。上载后，将 CA 捆绑包作为一连串符合规范的 PEM 编码证书进行验证，如果此包无效，则不会进行存储。如果包无效，则会返回 API 错误消息。

一个包的大小限制为 1 MB，证书最多为 1,000 个。

证书吊销列表

要确保拦截连接的端点提供的证书未被吊销，您可以使用 TLS 代理 CRL default_public_crl。您可以通过上载新的 CRL 来替换现有的 CRL，以更新此对象。您可以在策略配置文件中使用它。要将新的 CRL 上载到 NSX Manager，请使用 UI 或 API。CRL 将分发到运行 TLS 代理的节点。API 会在上载时验证 CRL，如果 CRL 无效，则拒绝存储此 CRL。 NSX 支持两种 CRL 格式：

PEM 编码的 X.509 CRL - 最大大小为 40 MB，条目为 500,000 个
Mozilla OneCRL - 最大大小为 5 MB，条目为 10,000 个

TLS 检查证书的警报处理

如果您不保留代理 CA 证书，而这些证书即将过期或已过期，或者您收到过期的 CA 证书，NSX Manager 将使用警报通知您。

NSX 针对 CA 包中即将过期或已过期的证书发出一组相同的警报。

由于 TLS 证书无效，您可能还会收到远程日志记录服务器错误。记录的事件错误是 Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.。要验证指定的证书是否有效，请使用 openssl 命令 openssl x509 -in <cert-file-path> -noout -dates。您还可以在 TLS 检查 UI 中查看和更新证书。

有关证书过期的更多详细信息，请参见证书过期警报通知。有关 NSX Manager 中 TLS 特定的“证书事件”的详细信息，请参见事件目录。