Hinzufügen eines SSL-Profils

SSL-Profile konfigurieren anwendungsunabhängige SSL-Eigenschaften, beispielsweise Verschlüsselungslisten, und verwenden diese Listen für mehrere Anwendungen. SSL-Eigenschaften sind unterschiedlich, wenn der Load Balancer als Client und als Server dient. Daher werden separate SSL-Profile für die Client- und die Serverseite unterstützt.

Hinweis: SSL-Profile werden in der Version NSX-T Data Center Limited Export nicht unterstützt.

Das clientseitige SSL-Profil verweist auf den Load Balancer, der als SSL-Server agiert und die SSL-Verbindung des Clients beendet. Das serverseitige SSL-Profil verweist auf den Load Balancer, der als Client agiert und eine Verbindung mit dem Server herstellt.

Sie können sowohl in den client- als auch in den serverseitigen SSL-Profilen eine Verschlüsselungsliste angeben.

Durch das Caching von SSL-Sitzungen sind SSL-Client und -Server in der Lage, zuvor ausgehandelte Sicherheitsparameter wiederzuverwenden. Hierdurch wird das aufwändige Verfahren mit öffentlichen Schlüsseln während des SSL-Handshakes vermieden. Das Caching von SSL-Sitzungen ist standardmäßig sowohl auf Client- als auch auf Serverseite deaktiviert.

Bei SSL-Sitzungstickets handelt es sich um ein alternatives Verfahren, das dem SSL-Client und -Server die Wiederverwendung von zuvor ausgehandelten Sitzungsparametern ermöglicht. In SSL-Sitzungstickets handeln der Client und der Server aus, ob sie während des Handshake-Austauschs SSL-Sitzungstickets unterstützen. Wenn beide die Tickets unterstützen, kann der Server ein SSL-Ticket mit verschlüsselten SSL-Sitzungsparametern an den Client senden. Der Client kann dieses Ticket in nachfolgenden Verbindungen verwenden, um die Sitzung wiederzuverwenden. SSL-Sitzungstickets sind auf der Clientseite aktiviert und auf der Serverseite deaktiviert.

Ein Diagramm mit SSL-Offloading. — Abbildung 1. SSL-Offloading

Ein Diagramm mit End-to-End-SSL. — Abbildung 2. End-to-End-SSL

Prozedur

Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
Wählen Sie Netzwerk > Load Balancing > Profile > SSL-Profil aus.

Wählen Sie ein SSL-Profil des Clients aus und geben Sie die Profildetails ein.

Option	Beschreibung
Name und Beschreibung	Geben Sie einen Namen und eine Beschreibung für das SSL-Clientprofil ein.
SSL-Suite	Wählen Sie die SSL-Verschlüsselungsgruppe im Dropdown-Menü aus, und die in das Client-SSL-Profil aufzunehmenden verfügbaren SSL-Verschlüsselungen und -Protokolle werden befüllt. Die SSL-Verschlüsselungsgruppe „Ausgeglichen“ stellt den Standardwert dar.
Sitzungs-Caching	Verwenden Sie die Umschaltfläche, damit der SSL-Client und -Server zuvor ausgehandelte Sicherheitsparameter wiederverwenden kann. Hierdurch wird das aufwändige Verfahren mit öffentlichen Schlüsseln während eines SSL-Handshakes vermieden.
Tags	Geben Sie Tags ein, um die Suche zu vereinfachen. Sie können ein Tag angeben, um einen Geltungsbereich des Tags festzulegen.
Unterstützte SSL-Verschlüsselungen	Je nach zugewiesener SSL-Suite werden die unterstützten SSL-Verschlüsselungen hier aufgefüllt. Klicken Sie auf Mehr anzeigen, um die gesamte Liste anzuzeigen. Bei Auswahl von Benutzerdefiniert müssen Sie die SSL-Verschlüsselungen im Dropdown-Menü auswählen.
Unterstützte SSL-Protokolle	Je nach zugewiesener SSL-Suite werden die unterstützten SSL-Protokolle hier aufgefüllt. Klicken Sie auf Mehr anzeigen, um die gesamte Liste anzuzeigen. Bei Auswahl von Benutzerdefiniert müssen Sie die SSL-Verschlüsselungen im Dropdown-Menü auswählen.
Zeitüberschreitung für Cache-Eintrag der Sitzung	Geben Sie die Zeitüberschreitung für den Cache in Sekunden an, um festzulegen, wie lange die SSL-Sitzungsparameter beibehalten werden müssen und wiederverwendet werden können.
Serververschlüsselung bevorzugen	Schalten Sie die Schaltfläche um, sodass der Server die erste unterstützte Verschlüsselung aus der Liste auswählen kann, die er unterstützen kann. Während eines SSL-Handshakes sendet der Client eine sortierte Liste der unterstützten Verschlüsselungen an den Server.

Wählen Sie ein SSL-Profil des Servers aus und geben Sie die Profildetails ein.

Option	Beschreibung
Name und Beschreibung	Geben Sie einen Namen und eine Beschreibung für das SSL-Serverprofil ein.
SSL-Suite	Wählen Sie die SSL-Verschlüsselungsgruppe im Dropdown-Menü aus, und die in das Server-SSL-Profil aufzunehmenden verfügbaren SSL-Verschlüsselungen und -Protokolle werden befüllt. Die SSL-Verschlüsselungsgruppe „Ausgeglichen“ stellt den Standardwert dar.
Sitzungs-Caching	Verwenden Sie die Umschaltfläche, damit der SSL-Client und -Server zuvor ausgehandelte Sicherheitsparameter wiederverwenden kann. Hierdurch wird das aufwändige Verfahren mit öffentlichen Schlüsseln während eines SSL-Handshakes vermieden.
Tags	Geben Sie Tags ein, um die Suche zu vereinfachen. Sie können ein Tag angeben, um einen Geltungsbereich des Tags festzulegen.
Unterstützte SSL-Verschlüsselungen	Je nach zugewiesener SSL-Suite werden die unterstützten SSL-Verschlüsselungen hier aufgefüllt. Klicken Sie auf Mehr anzeigen, um die gesamte Liste anzuzeigen. Bei Auswahl von Benutzerdefiniert müssen Sie die SSL-Verschlüsselungen im Dropdown-Menü auswählen.
Unterstützte SSL-Protokolle	Je nach zugewiesener SSL-Suite werden die unterstützten SSL-Protokolle hier aufgefüllt. Klicken Sie auf Mehr anzeigen, um die gesamte Liste anzuzeigen. Bei Auswahl von Benutzerdefiniert müssen Sie die SSL-Verschlüsselungen im Dropdown-Menü auswählen.
Zeitüberschreitung für Cache-Eintrag der Sitzung	Geben Sie die Zeitüberschreitung für den Cache in Sekunden an, um festzulegen, wie lange die SSL-Sitzungsparameter beibehalten werden müssen und wiederverwendet werden können.
Serververschlüsselung bevorzugen	Schalten Sie die Schaltfläche um, sodass der Server die erste unterstützte Verschlüsselung aus der Liste auswählen kann, die er unterstützen kann. Während eines SSL-Handshakes sendet der Client eine sortierte Liste der unterstützten Verschlüsselungen an den Server.