本主题提供了手动配置内部解密操作配置文件的步骤。

前提条件

  • 具有设置 TLS 检查所需的正确的用户角色和权限。
  • 导入或准备导入内部服务器证书,或者具有生成证书所需的相关信息。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择 安全 > TLS 检查 > 配置文件
  3. 单击添加解密操作配置文件 > 内部解密
  4. 输入新策略的名称。
  5. (可选)选择配置文件设置:均衡(默认)、高保真度、高安全性,或使用“自定义”更改子设置。
    配置文件设置 描述
    解密失败:绕过并记录日志或阻止并记录日志 设置在由于 mTLS(相互 TLS)或正在使用的证书绑定而导致解密失败时执行的操作。如果选择“绕过并记录日志”,则 NSX 将缓存此域,并且绕过此域的所有后续连接。
    加密实施:透明或强制 为客户端和服务器设置最低和最高 TLS 版本和密码套件。您可以使用“透明”选项绕过此操作。
  6. (可选)修改空闲连接超时。这是建立 TCP 连接后服务器可以保持空闲的时间(秒)。默认为 5400 秒。确保此超时小于网关防火墙空闲超时设置。
  7. 展开服务器证书和密钥部分,然后配置一个或多个内部服务器证书。
    1. 导入证书或 CA 证书。请参见导入自签名证书或 CA 签名证书
    2. 生成自签名证书或自签名 CA 证书。
    3. 单击行开头的复选框以选择现有服务器证书。
    4. 单击行末尾的默认单选按钮,将现有服务器证书设为默认证书。

    如果客户端 hello 中不存在 SNI 扩展,则会向客户端提供默认服务器证书。如果未配置此选项,则 TLS 代理不会拦截客户端 hello 中不包含 SNI 扩展的连接。如果 SNI 扩展在客户端 hello 中存在,但在配置的证书列表中没有与之匹配的证书,则 TLS 代理不会拦截这些连接。

    当客户端访问其中一个内部服务时,TLS 代理会根据服务器域与 Issued-to-field (CN) 字段的匹配情况提供此选定证书。

    如果配置了多个服务器证书,它们的域必须不同,这些域由公用名称 (CN) 或主体备用名称 (SAN) 指定。不能为同一个域配置两个证书,即 FQDN(例如,www.vmware.com)或通配符 (*.vmware.com)。但是,允许包含通配符域的证书与特定 FQDN 证书重叠。在这种情况下,在根据客户端 hello 中的 SNI 扩展选择要提供给客户端的证书时,更具体的证书要优于通配符证书。

  8. (可选)默认情况下,服务器证书验证是可选的,且默认处于禁用状态。如果它是企业自有服务,则无需对其进行配置。如果要强制执行此验证,请开启“服务器证书验证”以启用它。
    1. 展开此部分并配置验证选项。您可以选择默认的受信任 CA 包和 CRL 或导入它们。
      有关详细信息,请参见 导入或更新受信任的 CA 包导入证书吊销列表
    2. 单击保存

结果

现在,您可以使用内部解密操作配置文件在 Tier-1 网关上配置 TLS 检查策略和规则。

下一步做什么

创建 TLS 检查内部解密策略和规则。