Mit virtuellen Servern der Schicht 7 können Sie optional Load Balancer-, Persistenz-, clientseitige und serverseitige SSL-Profile konfigurieren.

Hinweis: SSL-Profile werden in der Version NSX-T Data Center 2.2 Limited Export nicht unterstützt.

Wenn eine clientseitige, nicht aber eine serverseitige SSL-Profilbindung auf einem virtuellen Server konfiguriert wurde, wird der virtuelle Server im SSL-Terminate-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und eine Klartextverbindung zum Server aufweist. Wenn sowohl die clientseitigen als auch die serverseitigen SSL-Profilbindungen konfiguriert sind, wird der virtuelle Server im SSL-Proxy-Modus ausgeführt, der eine verschlüsselte Verbindung zum Client und Server aufweist.

Das Zuordnen einer serverseitigen SSL-Profilbindung ohne Zuordnung einer clientseitigen SSL-Profilbindung wird aktuell nicht unterstützt. Wenn weder eine clientseitige noch eine serverseitige SSL-Profilbindung mit einem virtuellen Server verknüpft und die Anwendung SSL-basiert ist, wird der virtuelle Server im SSL-Unaware-Modus ausgeführt. In diesem Fall muss der virtuelle Server für Schicht 4 konfiguriert werden. Der virtuelle Server kann beispielsweise einem Fast TCP-Profil zugeordnet werden.

Voraussetzungen

Stellen Sie sicher, dass ein virtueller Server der Schicht 7 verfügbar ist. Siehe Konfigurieren von virtuellen Servern der Schicht 7.

Prozedur

  1. Öffnen Sie den virtuellen Server der Schicht 7.
  2. Wechseln Sie zur Seite „Load Balancer-Profile“.
  3. Schalten Sie die Schaltfläche „Persistenz“ zur Aktivierung des Profils um.
    Persistenzprofile ermöglichen das Senden verwandter Clientverbindungen an denselben Server.
  4. Wählen Sie entweder das Profil „IP-Quellpersistenz“ oder „Cookie-Persistenz“ aus.
  5. Wählen Sie im Dropdown-Menü ein vorhandenes Persistenzprofil aus.
  6. Klicken Sie auf Weiter.
  7. Schalten Sie die Schaltfläche „Clientseitiges SSL“ zum Aktivieren des Profils um.
    Clientseitige SSL-Profilbindung ermöglicht mehrere Zertifikate, damit verschiedene Hostnamen mit demselben virtuellen Server verbunden werden können.
    Das zugehörige clientseitige SSL-Profil wird automatisch befüllt.
  8. Wählen Sie im Dropdown-Menü ein Standardzertifikat aus.
    Dieses Zertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet.
  9. Wählen Sie das verfügbare SNI-Zertifikat aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
  10. (Optional) Schalten Sie „Obligatorische Clientauthentifizierung“ zum Aktivieren dieses Menüelements um.
  11. Wählen Sie das verfügbare CA-Zertifikat aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
  12. Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
  13. Wählen Sie die verfügbare Zertifikatssperrliste aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
    Eine Zertifikatssperrliste kann konfiguriert werden, um gefährdete Serverzertifikate nicht zuzulassen.
  14. Klicken Sie auf Weiter.
  15. Schalten Sie die Schaltfläche „Serverseitiges SSL“ zum Aktivieren des Profils um.
    Das zugeordnete serverseitige SSL-Profil wird automatisch befüllt.
  16. Wählen Sie im Dropdown-Menü ein Clientzertifikat aus.
    Das Clientzertifikat wird verwendet, wenn der Server nicht mehrere Hostnamen auf derselben IP-Adresse hostet oder wenn der Client keine Unterstützung für SNI-Erweiterungen (Server Name Indication) bietet.
  17. Wählen Sie das verfügbare SNI-Zertifikat aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
  18. (Optional) Schalten Sie „Serverauthentifizierung“ zum Aktivieren dieses Menüelements um.
    Eine serverseitige SSL-Profilbindung gibt an, ob das dem Load Balancer während des SSL-Handshakes präsentierte Serverzertifikat validiert werden muss. Bei aktivierter Validierung muss das Serverzertifikat von einer der vertrauenswürdigen Zertifizierungsstellen signiert sein, deren selbstsignierte Zertifikate in derselben serverseitigen SSL-Profilbindung angegeben sind.
  19. Wählen Sie das verfügbare CA-Zertifikat aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
  20. Legen Sie die Tiefe der Zertifikatskette fest, um die Tiefe in der Serverzertifikatskette zu überprüfen.
  21. Wählen Sie die verfügbare Zertifikatssperrliste aus und klicken Sie auf den Pfeil, um das Zertifikat in den Abschnitt „Ausgewählt“ zu verschieben.
    Eine Zertifikatssperrliste kann konfiguriert werden, um gefährdete Serverzertifikate nicht zuzulassen. OCSP und OCSP-Heftung werden serverseitig nicht unterstützt.
  22. Klicken Sie auf Fertigstellen.