本主题提供了手动配置外部解密操作配置文件的步骤。
前提条件
- 具有设置 TLS 检查所需的正确的用户角色和权限。
- 导入或准备导入受信任的代理 CA 证书和不受信任的代理 CA 证书,或者具有生成证书所需的相关信息。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到。
- 单击添加解密操作配置文件 > 外部解密。
- 输入新配置文件的名称。
- (可选)选择配置文件设置:均衡(默认)、高保真度、高安全性,或使用“自定义”更改子设置。
配置文件设置 |
描述 |
无效证书:允许或阻止日志 |
设置规则,以便在服务器提供的证书无效时允许或阻止流量。如果选择了“允许”,并且服务器提供的证书已过期或不受信任,则此选项允许通过向客户端发送不受信任的代理证书来继续连接。 |
解密失败:绕过并记录日志或阻止并记录日志 |
设置在由于 mTLS(相互 TLS)或正在使用的证书绑定而导致解密失败时执行的操作。如果选择“绕过并记录日志”,则 NSX 将缓存此域,并且绕过此域的所有后续连接。 |
加密实施:透明或强制 |
为客户端和服务器设置最低和最高 TLS 版本和密码套件。您可以使用“透明”选项绕过此操作 |
- (可选)修改空闲连接超时。这是建立 TCP 连接后服务器可以保持空闲的时间(秒)。默认为 5400 秒。确保此超时小于网关防火墙空闲超时设置。
- (可选)选择受信任的 CA 设置以选择受信任的 CA 包、CRL 和 OCSP 装订选项。
选项 |
描述 |
受信任的 CA 包 |
验证外部服务向 NSX 提供的证书。您可以使用默认的受信任 CA 包或导入新的 CA 包,然后根据需要为每个配置文件选择多个包。此包不会自动更新,因此您必须根据需要进行更新。有关更多详细信息,请参见“证书管理”中的 导入或更新受信任的 CA 包。 |
CRL |
NSX 还包括一个 CRL(证书吊销列表),用于验证服务器提供的证书。您可以使用默认 CRL 或导入新的 CRL,然后根据需要为每个配置文件选择多个 CRL。此 CRL 不会自动更新,因此您必须根据需要进行更新。有关更多详细信息,请参见“证书管理”中的 导入和检索 CRL。 |
需要 OCSP 装订 |
为提供的服务器证书强制执行 OSCP 装订。在 OCSP 装订中,拥有证书的服务器查询 OCSP 响应程序,将收到的带有时间戳和签名的 OCSP 响应与其证书添加在一起,作为 CertificateStatusRequest 扩展名。如果服务器具有链式证书,则服务器还必须为所有中间 CA 证书执行 OCSP 装订。 |
- 要导入或生成受信任或不受信任的代理 CA,请选择代理 CA 下拉列表,选择受信任的代理 CA 或“不受信任的代理 CA”选项卡,然后执行以下操作之一:
- 要保存配置文件(随后可用于 TLS 检查策略),请选择保存。
结果
现在,您可以使用解密操作配置文件在 Tier-1 网关上设置外部解密规则。
下一步做什么
创建 TLS 检查外部解密策略和规则。