SSL 配置文件配置与应用程序无关的 SSL 属性(如密码列表)并在多个应用程序中重用这些列表。负载均衡器充当客户端和服务器时的 SSL 属性有所不同,因此支持使用单独的客户端和服务器端 SSL 配置文件。

注: SSL 配置文件在 NSX Limited Export 版本中不受支持。

客户端 SSL 配置文件是指负载均衡器充当 SSL 服务器并停止客户端 SSL 连接。服务器端 SSL 配置文件是指负载均衡器充当客户端并与服务器建立连接。

您可以在客户端和服务器端 SSL 配置文件上指定密码列表。NSX Manager 附带以下默认 SSL 配置文件:
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile,
  • default-high-security-server-ssl-profile。
“balanced”SSL 配置文件支持混合使用 SSL 协议和密码,可为客户端/服务器提供性能和安全性的完美组合。“high-compatibility”SSL 配置文件支持大量 SSL 协议和密码,可提供对最广泛的客户端/服务器的访问。“high-security”SSL 配置文件支持安全性最高的 SSL 协议和密码,可提供对客户端/服务器最安全的访问。此外,还可以创建自定义 SSL 配置文件。

对于 NSX 4.1.x 版本,如果虚拟服务器配置了 default-balanced-client-ssl-profile 和 ECDSA 证书,则 NSX Manager 可以与 NSX LB 虚拟服务器进行通信。如果虚拟服务器配置了 default-balanced-client-ssl-profile 和 RSA 证书,则 NSX Manager 无法与 NSX LB 虚拟服务器通信,因为均衡密码组不支持所需的密码 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。因此,从 NSX 4.1.x 开始,NSX Manager 与具有此类配置的 vIDM LB VIP 之间的通信中断。从 NSX 4.2 开始,密码 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 还添加到均衡和高兼容性客户端/服务器配置文件中,以支持 NSX Manager 与 vIDM 负载均衡器虚拟服务器之间的通信。利用此新增功能,您不再需要创建自定义配置文件并添加密码 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 作为变通方法来支持 NSX Manager 与 vIDM LB VIP 之间的通信。

通过 SSL 会话缓存,SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。默认情况下,将在客户端和服务器端禁用 SSL 会话缓存。

SSL 会话票证是另一种允许 SSL 客户端和服务器重用先前商定会话参数的机制。在 SSL 会话票证中,客户端和服务器商定是否在握手交换期间支持 SSL 会话票证。如果二者均支持,则服务器可以向客户端发送包含加密 SSL 会话参数的 SSL 票证。客户端可以在后续连接中使用该票证来重用会话。SSL 会话票证在客户端处于启用状态,但在服务器端处于禁用状态。

图 1. SSL 卸载
SSL 卸载图表。
图 2. 端到端 SSL
端到端 SSL 图表。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > 负载均衡 > 配置文件 > SSL 配置文件
  3. 选择客户端 SSL 配置文件,然后输入配置文件详细信息。
    选项 描述
    名称和说明 输入客户端 SSL 配置文件的名称和描述。
    SSL Suite 从下拉菜单中选择 SSL 密码组,并填充将在客户端 SSL 配置文件中包含的可用 SSL 密码和 SSL 协议。

    经过均衡的 SSL 密码组是默认选项。

    会话缓存 切换该按钮,使 SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。
    标记 输入标记可使搜索变得更容易。

    可以指定一个标记以设置标记的范围。

    支持的 SSL 密码 根据 SSL Suite,在此处填充为您分配的支持的 SSL 密码。单击查看更多可查看整个列表。

    如果选择自定义,则必须从下拉菜单中选择 SSL 密码。

    支持的 SSL 协议 根据 SSL Suite,在此处填充为您分配的支持的 SSL 协议。单击查看更多可查看整个列表。

    如果选择自定义,则必须从下拉菜单中选择 SSL 密码。

    会话缓存条目超时 输入缓存超时(秒)以指定 SSL 会话参数必须保留并可重用的时长。
    首选服务器密码 切换该按钮,使服务器可以从其支持的列表中选择第一个受支持的密码。

    在 SSL 握手期间,客户端向服务器发送经过排序的受支持密码列表。

  4. 选择服务器 SSL 配置文件,然后输入配置文件详细信息。
    选项 描述
    名称和说明 输入服务器 SSL 配置文件的名称和描述。
    SSL Suite 从下拉菜单中选择 SSL 密码组,并填充将在服务器 SSL 配置文件中包含的可用 SSL 密码和 SSL 协议。

    经过均衡的 SSL 密码组是默认选项。

    会话缓存 切换该按钮,使 SSL 客户端和服务器可以重用先前商定的安全参数,避免在 SSL 握手期间发生开销很大的公钥操作。
    标记 输入标记可使搜索变得更容易。

    可以指定一个标记以设置标记的范围。

    支持的 SSL 密码 根据 SSL Suite,在此处填充为您分配的支持的 SSL 密码。单击查看更多可查看整个列表。

    如果选择自定义,则必须从下拉菜单中选择 SSL 密码。

    支持的 SSL 协议 根据 SSL Suite,在此处填充为您分配的支持的 SSL 协议。单击查看更多可查看整个列表。

    如果选择自定义,则必须从下拉菜单中选择 SSL 密码。

    会话缓存条目超时 输入缓存超时(秒)以指定 SSL 会话参数必须保留并可重用的时长。
    首选服务器密码 切换该按钮,使服务器可以从其支持的列表中选择第一个受支持的密码。

    在 SSL 握手期间,客户端向服务器发送经过排序的受支持密码列表。