In diesem Thema werden die Schritte zum manuellen Konfigurieren eines Aktionsprofils für die interne Entschlüsselung beschrieben.

Voraussetzungen

  • Sie müssen über die richtige Benutzerrolle und die Berechtigungen zum Einrichten der TLS-Prüfung verfügen.
  • Ein Zertifikat von einer Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy und von einer Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy muss importiert worden sein oder für den Import bereitstehen, oder Sie müssen über die entsprechenden Informationen zum Generieren des Zertifikats verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Klicken Sie auf Sicherheit > TLS-Prüfung > Profile.
  3. Klicken Sie auf Aktionsprofil für die Entschlüsselung hinzufügen > Interne Entschlüsselung.
  4. Geben Sie einen Namen für die neue Richtlinie ein.
  5. (Optional) Wählen Sie eine Profileinstellung aus: „Ausgeglichen“ (Standard), „Hohe Wiedergabetreue“, „Hohe Sicherheit“, oder verwenden Sie „Benutzerdefiniert“, um die Untereinstellungen zu ändern.
    Profileinstellung Beschreibung
    Entschlüsselungsfehler: „Umgehen und protokollieren“ oder „Blockieren und protokollieren“ Legt fest, wie bei einem Entschlüsselungsfehler zu verfahren ist, der auf die Verwendung von mTLS (Mutual TLS) oder des Anheftens von Zertifikaten zurückzuführen sein könnte. Wenn Sie „Umgehen und protokollieren“ auswählen, speichert NSX diese Domäne im Zwischenspeicher, und alle nachfolgenden Verbindungen mit der Domäne werden umgangen.
    Crypto-Erzwingung: „Transparent“ oder „Erzwingen“ Legt die minimale und maximale TLS-Version und Verschlüsselungs-Suites für den Client und den Server fest. Mithilfe der Option „Transparent“ können Sie dies umgehen.
  6. (Optional) Ändern Sie die Zeitüberschreitung für Verbindungen im Leerlauf. Dies ist die Zeit in Sekunden, in der der Server nach dem Herstellen einer TCP-Verbindung im Leerlauf bleiben kann. Die Standardeinstellung lautet 5400 Sekunden. Wählen Sie eine Zeitüberschreitung aus, die niedriger ist als die Leerlauf-Zeitüberschreitungseinstellungen für die Gateway-Firewall.
  7. Erweitern Sie den Abschnitt Serverzertifikate und ‑schlüssel und konfigurieren Sie ein oder mehrere interne Serverzertifikate.
    1. Importieren Sie ein Zertifikat oder ein CA-Zertifikat. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
    2. Generieren Sie ein selbstsigniertes Zertifikat oder ein selbstsigniertes CA-Zertifikat.
    3. Wählen Sie ein vorhandenes Serverzertifikat aus, indem Sie auf das Kontrollkästchen vor der Zeile klicken.
    4. Legen Sie ein vorhandenes Serverzertifikat als Standard fest, indem Sie auf das Optionsfeld Standard am Ende der Zeile klicken.

    Wenn die SNI-Erweiterung im Client-Hello nicht vorhanden ist, wird dem Client das Standard-Serverzertifikat präsentiert. Wenn diese Option nicht konfiguriert ist, fängt der TLS-Proxy keine Verbindungen ab, die keine SNI-Erweiterung im Client-Hello enthalten. Wenn die SNI-Erweiterung im Client-Hello vorhanden ist, aber in der Liste der konfigurierten Zertifikate kein übereinstimmendes Zertifikat dafür vorhanden ist, fängt der TLS Proxy diese Verbindungen nicht ab.

    Wenn ein Client auf einen dieser internen Dienste zugreift, präsentiert der TLS-Proxy dieses ausgewählte Zertifikat anhand der Übereinstimmung der Serverdomäne dem Feld „Ausgegeben für“ (CN).

    Wenn mehr als ein Serverzertifikat konfiguriert ist, müssen alle Serverzertifikate über unterschiedliche Domänen verfügen, die durch Common Name (CN) oder Subject Alternative Name (SAN) angegeben sind. Zwei Zertifikate können nicht für dieselbe Domäne konfiguriert werden, entweder FQDN (z. B. www.vmware.com) oder Platzhalter (*.vmware.com). Zertifikate mit Platzhalterdomänen, die sich mit bestimmten FQDN-Zertifikaten überschneiden, sind jedoch zulässig. In solchen Fällen werden spezifischere Zertifikate gegenüber Platzhalterzertifikaten bevorzugt, während ein Zertifikat ausgewählt wird, das dem Client basierend auf der SNI-Erweiterung im Client-Hello präsentiert werden soll.

  8. (Optional) Standardmäßig ist die Validierung des Serverzertifikats optional und deaktiviert. Sie müssen dies nicht konfigurieren, wenn es sich um einen unternehmenseigenen Dienst handelt. Wenn Sie diese Validierung erzwingen möchten, aktivieren Sie die Validierung des Serverzertifikats, indem Sie sie Einschalten.
    1. Erweitern Sie den Abschnitt und konfigurieren Sie Ihre Validierungsoptionen. Sie können das standardmäßige vertrauenswürdige CA-Paket und CRL auswählen oder diese importieren.
      Einzelheiten dazu finden Sie unter Importieren oder Aktualisieren eines vertrauenswürdigen CA-Pakets und Importieren einer Zertifikatswiderrufsliste.
    2. Klicken Sie auf Speichern.

Ergebnisse

Sie können jetzt das Aktionsprofil für die interne Entschlüsselung verwenden, um Richtlinien und Regeln für die TLS-Inspektion auf Ihren Tier-1-Gateways zu konfigurieren.

Nächste Maßnahme

Erstellen Sie interne Entschlüsselungsrichtlinien und ‑regeln für die TLS-Prüfung.