本主题提供了手动配置外部解密操作配置文件的步骤。

前提条件

  • 具有设置 TLS 检查所需的正确的用户角色和权限。
  • 导入或准备导入受信任的代理 CA 证书和不受信任的代理 CA 证书,或者具有生成证书所需的相关信息。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到安全 > TLS 检查 > 配置文件
  3. 单击添加解密操作配置文件 > 外部解密
  4. 输入新配置文件的名称。
  5. (可选)选择配置文件设置:均衡(默认)、高保真度、高安全性,或使用“自定义”更改子设置。
    配置文件设置 描述
    无效证书:允许或阻止日志 设置规则,以便在服务器提供的证书无效时允许或阻止流量。如果选择了“允许”,并且服务器提供的证书已过期或不受信任,则此选项允许通过向客户端发送不受信任的代理证书来继续连接。
    解密失败:绕过并记录日志或阻止并记录日志 设置在由于 mTLS(相互 TLS)或正在使用的证书绑定而导致解密失败时执行的操作。如果选择“绕过并记录日志”,则 NSX 将缓存此域,并且绕过此域的所有后续连接。
    加密实施:透明或强制 为客户端和服务器设置最低和最高 TLS 版本和密码套件。您可以使用“透明”选项绕过此操作
  6. (可选)修改空闲连接超时。这是建立 TCP 连接后服务器可以保持空闲的时间(秒)。默认为 5400 秒。确保此超时小于网关防火墙空闲超时设置。
  7. (可选)选择受信任的 CA 设置以选择受信任的 CA 包、CRL 和 OCSP 装订选项。
    选项 描述
    受信任的 CA 包 验证外部服务向 NSX 提供的证书。您可以使用默认的受信任 CA 包或导入新的 CA 包,然后根据需要为每个配置文件选择多个包。此包不会自动更新,因此您必须根据需要进行更新。有关更多详细信息,请参见“证书管理”中的 导入或更新受信任的 CA 包
    CRL NSX 还包括一个 CRL(证书吊销列表),用于验证服务器提供的证书。您可以使用默认 CRL 或导入新的 CRL,然后根据需要为每个配置文件选择多个 CRL。此 CRL 不会自动更新,因此您必须根据需要进行更新。有关更多详细信息,请参见“证书管理”中的 导入和检索 CRL
    需要 OCSP 装订 为提供的服务器证书强制执行 OSCP 装订。在 OCSP 装订中,拥有证书的服务器查询 OCSP 响应程序,将收到的带有时间戳和签名的 OCSP 响应与其证书添加在一起,作为 CertificateStatusRequest 扩展名。如果服务器具有链式证书,则服务器还必须为所有中间 CA 证书执行 OCSP 装订。
  8. 要导入或生成受信任或不受信任的代理 CA,请选择代理 CA 下拉列表,选择受信任的代理 CA“不受信任的代理 CA”选项卡,然后执行以下操作之一:
    • 选择导入 > CA 证书
    • 选择生成 > 自签名 CA 证书

      输入所需的详细信息,然后单击“保存”。有关导入代理 CA 的详细信息,请参见 导入证书

  9. 要保存配置文件(随后可用于 TLS 检查策略),请选择保存

结果

现在,您可以使用解密操作配置文件在 Tier-1 网关上设置外部解密规则。

下一步做什么

创建 TLS 检查外部解密策略和规则。