NSX 上的 TLS 检查需要安全证书。要拦截、解密和加密 TLS 检查 和其他高级安全应用程序的流量,您必须准备 TLS 代理,以便它可以充当 TLS 连接的透明代理。NSX Manager 需要这些证书才能在应用程序之间建立信任关系。

证书管理支持以下 TLS 检查选项。
  • 导入现有证书或生成新的自签名或 CA 自签名 CSR(证书签名请求)。
  • 导出现有证书。
  • 导入或更新默认的受信任 CA 包。
  • 导入或更新默认公共证书吊销列表 (CRL)。
  • 对所有预定义筛选器选项进行高级筛选。
  • “证书”页面上的证书横幅已过期。
  • 用颜色标记的有效或无效证书的通知。

有关这些选项的信息,请参见 证书

TLS 代理需要 CA 证书(也称为代理 CA)。NSX Manager 使用代理 CA 生成证书,以模拟拦截的连接中的端点。换句话说,这有助于伪装网站服务器上拦截的流量的证书。您可以选择以下两种类型的代理 CA 证书之一:

要生成模拟拦截的连接中端点的证书,TLS 代理需要 CA 证书(也称为代理 CA)。 NSX Manager 使用代理 CA。换句话说,这有助于伪装。您可以选择以下两种类型的代理 CA 证书之一:
  • 自签名证书通常用于测试有限的不受信任的部署。此工作流首先是通过 CSR(证书签名请求),请求 NSX Manager 生成 CA 证书密钥对。然后,它向 NSX Manager 请求对 CSR 进行自签名。
  • 颁发 CA 的企业对信任的从属 CA 证书进行签名。此工作流首先是通过 CSR 请求 NSX Manager 生成 CA 证书密钥对,下载 CSR,然后将 CSR 提交到 CA 颁发机构,从而接收签名证书。然后,它将签名的公共 CA 证书上载到 NSX Manager。上载可以包含证书链。证书链是新证书和根 CA 证书之间的中间签名证书。

可通过多种方法将新的 CA 证书上载到 NSX Manager:使用 UI 中的 TLS 向导;在 UI 中手动添加证书;或者使用 NSX API。有关详细信息,请参见导入 CA 证书

受信任的 CA 包

设置后,这些 CA 证书将分发到运行 TLS 代理的节点。您可以上载多个不同名称的 CA 证书包。TLS 代理使用的每个 CA 包都会在解密操作配置文件中进行配置。上载后,将 CA 捆绑包作为一连串符合规范的 PEM 编码证书进行验证,如果此包无效,则不会进行存储。如果包无效,则会返回 API 错误消息。

一个包的大小限制为 1 MB,证书最多为 1,000 个。

证书吊销列表

要确保拦截连接的端点提供的证书未被吊销,您可以使用 TLS 代理 CRL default_public_crl。您可以通过上载新的 CRL 来替换现有的 CRL,以更新此对象。您可以在策略配置文件中使用它。要将新的 CRL 上载到 NSX Manager,请使用 UI 或 API。CRL 将分发到运行 TLS 代理的节点。API 会在上载时验证 CRL,如果 CRL 无效,则拒绝存储此 CRL。 NSX 支持两种 CRL 格式:
  • PEM 编码的 X.509 CRL - 最大大小为 40 MB,条目为 500,000 个
  • Mozilla OneCRL - 最大大小为 5 MB,条目为 10,000 个

TLS 检查证书的警报处理

如果您不保留代理 CA 证书,而这些证书即将过期或已过期,或者您收到过期的 CA 证书,NSX Manager 将使用警报通知您。

NSX 针对 CA 包中即将过期或已过期的证书发出一组相同的警报。

由于 TLS 证书无效,您可能还会收到远程日志记录服务器错误。记录的事件错误是 Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.。要验证指定的证书是否有效,请使用 openssl 命令 openssl x509 -in <cert-file-path> -noout -dates。您还可以在 TLS 检查 UI 中查看和更新证书。

有关证书过期的更多详细信息,请参见 证书过期警报通知。有关 NSX Manager 中 TLS 特定的“证书事件”的详细信息,请参见事件目录