本主题提供了手动配置内部解密操作配置文件的步骤。
前提条件
- 具有设置 TLS 检查所需的正确的用户角色和权限。
- 导入或准备导入内部服务器证书,或者具有生成证书所需的相关信息。
过程
- 使用 admin 特权登录到 NSX Manager。
- 选择 。
- 单击添加解密操作配置文件 > 内部解密。
- 输入新策略的名称。
- (可选)选择配置文件设置:均衡(默认)、高保真度、高安全性,或使用“自定义”更改子设置。
配置文件设置 |
描述 |
解密失败:绕过并记录日志或阻止并记录日志 |
设置在由于 mTLS(相互 TLS)或正在使用的证书绑定而导致解密失败时执行的操作。如果选择“绕过并记录日志”,则 NSX 将缓存此域,并且绕过此域的所有后续连接。 |
加密实施:透明或强制 |
为客户端和服务器设置最低和最高 TLS 版本和密码套件。您可以使用“透明”选项绕过此操作。 |
- (可选)修改空闲连接超时。这是建立 TCP 连接后服务器可以保持空闲的时间(秒)。默认为 5400 秒。确保此超时小于网关防火墙空闲超时设置。
- 展开服务器证书和密钥部分,然后配置一个或多个内部服务器证书。
- 导入证书或 CA 证书。请参见导入自签名证书或 CA 签名证书。
- 生成自签名证书或自签名 CA 证书。
- 单击行开头的复选框以选择现有服务器证书。
- 单击行末尾的默认单选按钮,将现有服务器证书设为默认证书。
如果客户端 hello 中不存在 SNI 扩展,则会向客户端提供默认服务器证书。如果未配置此选项,则 TLS 代理不会拦截客户端 hello 中不包含 SNI 扩展的连接。如果 SNI 扩展在客户端 hello 中存在,但在配置的证书列表中没有与之匹配的证书,则 TLS 代理不会拦截这些连接。
当客户端访问其中一个内部服务时,TLS 代理会根据服务器域与 Issued-to-field (CN) 字段的匹配情况提供此选定证书。
如果配置了多个服务器证书,它们的域必须不同,这些域由公用名称 (CN) 或主体备用名称 (SAN) 指定。不能为同一个域配置两个证书,即 FQDN(例如,www.vmware.com)或通配符 (*.vmware.com)。但是,允许包含通配符域的证书与特定 FQDN 证书重叠。在这种情况下,在根据客户端 hello 中的 SNI 扩展选择要提供给客户端的证书时,更具体的证书要优于通配符证书。
- (可选)默认情况下,服务器证书验证是可选的,且默认处于禁用状态。如果它是企业自有服务,则无需对其进行配置。如果要强制执行此验证,请开启“服务器证书验证”以启用它。
- 展开此部分并配置验证选项。您可以选择默认的受信任 CA 包和 CRL 或导入它们。
- 单击保存。
结果
现在,您可以使用内部解密操作配置文件在 Tier-1 网关上配置 TLS 检查策略和规则。
下一步做什么
创建 TLS 检查内部解密策略和规则。