Für die TLS-Prüfung in NSX-T Data Center ist ein Sicherheitszertifikat erforderlich. Um Datenverkehr für TLS-Prüfung und andere erweiterte Sicherheitsanwendungen abzufangen, zu entschlüsseln und zu verschlüsseln, müssen Sie den TLS-Proxy vorbereiten, damit er als transparenter Proxy für TLS-Verbindungen fungieren kann. NSX Manager benötigt diese Zertifikate, um eine Vertrauensstellung zwischen Anwendungen herzustellen.

Die Zertifikatsverwaltung unterstützt die folgenden Optionen für die TLS-Prüfung.
  • Importieren Sie ein vorhandenes Zertifikat oder generieren Sie eine selbstsignierte oder CA-signierte CSR (Zertifikatsignierungsanforderung).
  • Exportieren Sie ein vorhandenes Zertifikat.
  • Importieren oder aktualisieren Sie ein standardmäßiges vertrauenswürdiges CA-Paket.
  • Importieren oder aktualisieren Sie eine standardmäßige Zertifikatswiderrufsliste (CRL).
  • Erweiterte Filterung für alle vordefinierten Filteroptionen.
  • Banner „Abgelaufenes Zertifikat“ auf der Seite „Zertifikate“.
  • Farbcodierte Benachrichtigung über gültige bzw. ungültige Zertifikate.

Informationen zu diesen Optionen finden Sie unter Zertifikate.

Der TLS-Proxy erfordert ein CA-Zertifikat. Dies wird auch als Proxy-CA bezeichnet. NSX Manager verwendet die Proxy-CA zum Generieren von Zertifikaten, die die Identität der Endpoints in der abgefangenen Verbindung annehmen. Er hilft also dabei, Zertifikate für den abgefangenen Datenverkehr auf Websiteservern zu spoofen. Sie haben die Auswahl zwischen zwei Arten von Proxy-CA-Zertifikaten:

Um Zertifikate zu generieren, die die Identität der Endpoints in der abgefangenen Verbindung annehmen, benötigt der TLS-Proxy ein CA-Zertifikat. Dies wird auch als Proxy-CA bezeichnet. NSX Manager verwendet die Proxy-CA. Dies hilft also beim Spoofen. Sie haben die Auswahl zwischen zwei Arten von Proxy-CA-Zertifikaten:
  • Selbstsignierte Zertifikate werden in der Regel für Tests oder beschränkte Bereitstellungen ohne Vertrauensstellung verwendet. Dieser Workflow beginnt mit einer Anforderung an den NSX Manager, damit dieser ein CA-Zertifikat-Schlüsselpaar mit einer Zertifikatsignierungsanforderung (CSR) generiert. Anschließend wird der NSX Manager aufgefordert, die CSR selbst zu signieren.
  • Eine ausstellende Enterprise-CA signiert vertrauenswürdige untergeordnete CA-Zertifikate. Dieser Workflow beginnt mit einer Anforderung an den NSX Manager, damit dieser ein CA-Zertifikat-Schlüsselpaar mit einer CSR generiert, die CSR herunterlädt, sie dann an die ausstellende CA übermittelt, die schließlich ein signiertes Zertifikat empfängt. Anschließend wird das signierte öffentliche CA-Zertifikat auf den NSX Manager hochgeladen. Der Upload kann eine Zertifikatskette enthalten. Zertifikatsketten sind Zwischensignaturzertifikate zwischen dem neuen Zertifikat und dem Stamm-CA-Zertifikat.

Für das Hochladen eines neuen CA-Zertifikats auf den NSX Manager gibt es mehrere Möglichkeiten: Sie können den TLS-Assistenten in der Benutzeroberfläche verwenden, das Zertifikat manuell über die Benutzeroberfläche hinzufügen oder die NSX API verwenden. Einzelheiten dazu finden Sie unter Importieren eines CA-Zertifikats.

Vertrauenswürdige CA-Pakete

Nach der Einrichtung werden diese CA-Zertifikate an die Knoten verteilt, auf denen der TLS-Proxy ausgeführt wird. Sie können mehrere CA-Zertifikatpakete mit unterschiedlichen Namen hochladen. Jedes vom TLS-Proxy verwendete CA-Paket wird im Aktionsprofil für die Entschlüsselung konfiguriert. Beim Hochladen wird das CA-Paket als gut gebildete Verkettung von PEM-codierten Zertifikaten validiert und nicht gespeichert, wenn es ungültig ist. Wenn ein Paket ungültig ist, gibt es API-Fehlermeldungen zurück.

Ein einzelnes Paket ist auf 1 MB und 1.000 Zertifikate beschränkt.

Zertifikatswiderrufsliste

Um sicherzustellen, dass die von den Endpoints der abgefangenen Verbindung angebotenen Zertifikate nicht widerrufen werden, können Sie die TLS-Proxy-CRL (default_public_crl) verwenden. Sie können dieses Objekt aktualisieren, indem Sie eine neue CRL hochladen, die die vorhandene CRL ersetzt. Sie können sie in Richtlinienprofilen verwenden. Verwenden Sie zum Hochladen einer neuen CRL in den NSX Manager die Benutzeroberfläche oder die API. Die CRL wird an die Knoten verteilt, auf denen der TLS-Proxy ausgeführt wird. Die API validiert die CRL beim Hochladen und verweigert ihre Speicherung, wenn sie ungültig ist. NSX-T Data Center unterstützt zwei CRL-Formate:
  • PEM-codierte X.509-CRL: maximale Größe von 40 MB, 500.000 Einträge
  • Mozilla OneCRL: maximale Größe von 5 MB, 10.000 Einträge

Alarmbehandlung für TLS-Prüfung Zertifikate

Wenn Sie Ihre Proxy-CA-Zertifikate nicht pflegen und diese sich dem Ablaufdatum nähern oder abgelaufen sind oder Sie ein abgelaufenes CA-Zertifikat erhalten haben, benachrichtigt Sie NSX Manager durch Alarme.

NSX-T Data Center löst für ablaufende oder abgelaufene Zertifikate in CA-Paketen denselben Alarmsatz aus.

Möglicherweise erhalten Sie auch Fehler beim Remote-Protokollierungsserver aufgrund eines ungültigen TLS-Zertifikats. Folgender Ereignisfehler wird protokolliert: Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.. Überprüfen Sie mit dem openssl-Befehl openssl x509 -in <cert-file-path> -noout -dates, ob das angegebene Zertifikat gültig ist. Sie können Zertifikate auch in der Benutzeroberfläche der TLS-Prüfung anzeigen und aktualisieren.

Weitere Details zum Ablauf von Zertifikaten finden Sie unter Alarmbenachrichtigung bei Ablauf des Zertifikats. Weitere Informationen zu TLS-spezifischen „Zertifikatsereignissen“ aus dem NSX Manager finden Sie unter https://docs.vmware.com/de/VMware-NSX-Event-Catalog/index.html.