TLS-Prüfung wird verwendet, um erweiterte Bedrohungen über verschlüsselte TLS-Kanäle zu erkennen und zu verhindern. Die TLS-Prüfung entschlüsselt auf transparente Weise verschlüsselten Datenverkehr und macht diesen für erweiterte Sicherheitsfunktionen wie IDS/IPS, Malware-Schutz und URL-Filterung verfügbar. Dies ermöglicht den Einblick in den verschlüsselten Datenverkehr ohne Auslagerung und unter Beibehaltung der End-to-End-Verschlüsselung.

Selbst wenn Sie alle erweiterten Sicherheitsfunktionen für die Gateway-Firewall aktivieren, können Sie Einblicke in verschlüsselten Datenverkehr, in dessen Paketen sich möglicherweise Malware verbirgt, ohne TLS-Prüfung weder erzwingen noch erhalten. Dank der TLS-Entschlüsselung können Administratoren Zugriffe effektiver kontrollieren und Bedrohungen in verschlüsseltem Datenverkehr erkennen und verhindern.

Vorsicht: Diese Funktion ist nur im Modus für die technische Vorschau verfügbar. Weitere Informationen zu den Funktionen der technischen Vorschau erhalten Sie in den Versionshinweisen zu NSX-T Data Center.
  • Unterstützung für TLS-Prüfung
  • Konzepte der TLS-Prüfung
  • TLS-Prüfungsrichtlinien
  • Erstellen von TLS-Entschlüsselungsaktionsprofilen
  • Verwaltung von TLS-Prüfzertifikaten

Unterstützung für TLS-Prüfung

In diesem Thema wird die Unterstützung für die TLS-Prüfung in NSX-T Data Center beschrieben.

Die Unterstützung für die TLS-Prüfung umfasst:

  • Unterstützung nur auf Tier-1-Gateways.
  • TLS Version 1.0 bis 1.2 werden unterstützt. TLS 1.2 mit Perfect Forward Secrecy (PFS) wird unterstützt. Wenn Version 1.3 verwendet wird, handelt der NSX-Proxy mit einer früheren Version aus und stellt eine Verbindung her.
  • Nutzung von TLS Server Name Indication (SNI) im TLS-Client-Hello, um den Datenverkehr zu klassifizieren.
  • Einblick in verschlüsselten Datenverkehr ohne Auslagerung unter Beibehaltung der End-to-End-Verschlüsselung.
  • TLS-Entschlüsselung auf Gateway-Firewalls, um den Datenverkehr abzufangen und zu entschlüsseln, damit er an die erweiterten Firewall-Sicherheitsfunktionen weitergeleitet wird.
  • Richtlinien für die TLS-Prüfung zum Erstellen eines Regelsatzes, der Bedingungen für die Übereinstimmung und die Durchführung einer vordefinierten Aktion beschreibt.
  • Regeln für die TLS-Prüfungsrichtlinie unterstützen die Aktionsprofile für die Umgehung der Entschlüsselung, die externe und interne Entschlüsselung.

TLS-Prüfung-Konzepte

TLS-Prüfung erkennt und verhindert erweiterte Bedrohungen in Ihrem Netzwerk über verschlüsselte TLS-Kanäle. Dieses Thema enthält Konzepte im Zusammenhang mit TLS-Prüfung-Funktionen.

TLS-Protokoll

In diesem Thema wird beschrieben, wie der TLS-Protokoll-Handshake funktioniert, um einen verschlüsselten Kanal zwischen dem Client und dem Server einzurichten. In der folgenden Abbildung des TLS-Protokolls werden die verschiedenen Schritte für die Einrichtung eines verschlüsselten Kanals dargestellt.
Abbildung 1. TLS-Protokoll
3-Wege-TLS-Handshake
Zusammenfassung des TLS-Protokolls:
  • TLS initiiert eine TLS-Sitzung über eine eingerichtete TCP-Sitzung zwischen dem Client und dem Server (auch bekannt als 3-Wege-Handshake).
  • Der Client sendet einen Client-Hello, der die unterstützte TLS-Version und ‑Verschlüsselung sowie die SNI-Erweiterung (Server Name Indication) enthält. TLS-Prüfung verwendet SNI im TLS-Client-Hello, um den Datenverkehr mithilfe des Kontextprofils zu klassifizieren, damit das Profil für die interne Entschlüsselung, die externe Entschlüsselung oder die Umgehung der Entschlüsselung verwendet wird.
  • Der Server antwortet mit dem Serverzertifikat zur Authentifizierung und Identifizierung und einem Server-Hello mit der vom Client vorgeschlagenen Version und Verschlüsselung.
  • Sobald der Client das Zertifikat validiert und die endgültige Version und Verschlüsselung überprüft, generiert er einen symmetrischen Sitzungsschlüssel und sendet ihn an den Server.
  • Um den sicheren TLS-Tunnel zu initiieren, der Anwendungsdaten über den verschlüsselten TLS-Kanal austauscht, validiert der Server den Sitzungsschlüssel und sendet die abgeschlossene Meldung.

Standardmäßig zeigt das TLS-Protokoll nur die Identität des Servers für den Client mithilfe des X.509-Zertifikats an, und die Authentifizierung des Clients beim Server bleibt der Anwendungsschicht überlassen.

TLS-Entschlüsselungstypen

Mit der TLS-Prüfung-Funktion können Benutzer Richtlinien zur Entschlüsselung oder Umgehung der Entschlüsselung definieren. Die TLS-Prüfungsfunktion ermöglicht zwei Arten der Entschlüsselung:
  • Interne TLS-Entschlüsselung: für Datenverkehr, der zu einem internen Unternehmensdienst geht, wobei Sie den Dienst, das Zertifikat und den Privatschlüssel besitzen. Dies wird auch als TLS-Reverse-Proxy oder eingehende Entschlüsselung bezeichnet.
  • Externe TLS-Entschlüsselung: für Datenverkehr, der zu einem externen Dienst (Internet) geht, bei dem das Unternehmen nicht Besitzer des Diensts, seines Zertifikats und des Privatschlüssels ist. Dies wird auch als TLS-Weiterleitungs-Proxy oder ausgehende Entschlüsselung bezeichnet.
Das folgende Diagramm zeigt, wie der Datenverkehr von den internen und externen TLS-Entschlüsselungstypen verarbeitet wird.
Abbildung 2. NSX-TLS-Entschlüsselungstypen
Interne und externe TLS-Entschlüsselung auf der NSX Gateway-Firewall
Das folgende Diagramm und die folgende Tabelle erläutern, wie die externe TLS-Entschlüsselung mit NSX funktioniert.
Abbildung 3. Funktionsweise der externen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil der TLS-Prüfung-Richtlinie abgeglichen.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem vorgesehenen Server.
3 NSX erzwingt die TLS-Version und ‑Verschlüsselung (die konfigurierbar ist).
4 Der Server antwortet dem Client mit einem TLS-Zertifikat
5 NSX validiert das Serverzertifikat mithilfe des vertrauenswürdigen CA-Pakets, generiert dynamisch ein Proxy-CA-Zertifikat und präsentiert es dem Client.

Das folgende Diagramm und die folgende Tabelle erläutern, wie die interne TLS-Entschlüsselung mit NSX funktioniert.

Abbildung 4. Funktionsweise der internen Entschlüsselung
Workflow der externen Entschlüsselung für die TLS-Prüfung
Beschriftung Workflow
1 Die TLS-Client-Hello-SNI wird mit dem Kontextprofil für die TLS-Prüfungsrichtlinie abgeglichen, das für die interne Domäne konfiguriert wurde.
2 NSX fängt die TLS-Sitzung vom Client ab und initiiert eine neue Sitzung auf dem beabsichtigten Server.
3 NSX erzwingt die TLS-Version bzw. ‑Verschlüsselung (konfigurierbar).
4 Der Server antwortet mit einem Zertifikat als Teil des TLS-Handshakes (Validierung optional).
5 NSX präsentiert dem Client das Zertifikat des Servers, das als Teil der Konfiguration hochgeladen wurde.

TLS-Prüfungsrichtlinien

Eine TLS-Überprüfungsrichtlinie gilt für die ausgewählte Tier-1-Gateway-Firewall oder die ausgewählten Firewalls. Wenn Sie zum ersten Mal eine TLS-Prüfungsrichtlinie hinzufügen, können Sie entweder den Assistenten verwenden oder die Richtlinie und die zugehörigen Regeln manuell konfigurieren. In diesem Thema werden die Konzepte und die Erstellung von TLS-Prüfungsrichtlinien beschrieben.

Die TLS-Prüfung in NSX ermöglicht eine einfache Richtlinienverwaltung über die folgenden drei Kategorien. Ähnlich wie Gateway-Firewallkategorien können Sie eine der Kategorien basierend auf der Anforderung verwenden, um TLS-Prüfungsrichtlinien zu definieren.
  • Vorab-Regeln: Dienen zum Definieren der Richtlinie für mehrere Gateways.
  • Lokales Gateway: Definiert spezifische Richtlinien.
  • Standard (Nach-Regeln): Diese TLS-Standardkategorie ist insofern anders als die Gateway-Richtlinienregeln, als sie keine vorgefertigte Regel oder Standardrichtlinie enthält. Darüber hinaus können Sie Nach-Regeln in der Kategorie „Standard“ definieren (die in der Gateway-Firewalltabelle nicht verfügbar ist). Der Anwendungsfall könnte beispielsweise darin bestehen, nach der Konfiguration des lokalen Gateways mehreren Gateways einige gemeinsame Richtlinien hinzuzufügen.

Erstellen einer TLS-Prüfungsrichtlinie

Um die Konfiguration der ersten TLS-Prüfungsrichtlinie zu vereinfachen, können Sie den Assistenten für die TLS-Prüfung verwenden oder Ihre Richtlinie manuell über die Benutzeroberfläche erstellen. In diesem Thema wird nicht die Konfiguration mit dem Assistenten beschrieben, sondern nur die manuellen Konfigurationsschritte.

Der Assistent bietet einen Überblick über den Workflow für die Konfiguration der TLS-Prüfung für Ihre Tier-1-Gateway-Firewalls. Der Assistent wird auf der Startseite der TLS-Prüfung nur für die erste Richtlinie angezeigt. Sie können jedoch über die Registerkarten „Alle freigegebenen Regeln“ und „Gateway-spezifische Regeln“ auf den Assistenten zugreifen. Sie können den Konfigurationsassistenten überspringen und die Richtlinienerstellung und die Einrichtung des Aktionsprofils für die Entschlüsselung manuell abschließen. Klicken Sie dazu auf Überspringen, wenn die Seite geöffnet wird.

Voraussetzungen

Diese Voraussetzungen gelten für TLS-Prüfungsrichtlinien.

Aktivieren Sie die folgenden Einstellungen. Sie sind standardmäßig deaktiviert.
  • TLS-Prüfungseinstellungen werden pro Gateway aktiviert.

    Navigieren Sie zu Sicherheit > TLS-Prüfung und wählen Sie die Registerkarte Einstellungen aus. Wählen Sie ein oder mehrere Gateways aus der Liste der TLS-fähigen Gateways aus und klicken Sie auf Einschalten.

  • URL-Datenbank wird auf dem Edge-Cluster aktiviert.

    Navigieren Sie zu Sicherheit > Allgemeine Einstellungen > URL-Datenbank. Edge-Knoten müssen über Internetkonnektivität verfügen, damit der NSX Threat Intelligence Cloud Service (NTICS) die URL-Datenbankdownloads abschließen kann.

  • Um Statistiken zur TLS-Prüfung über das Dashboard „Sicherheit“ anzuzeigen, stellen Sie NSX Application Platform in Ihrer NSX-T Data Center 3.2-Umgebung (oder höher) bereit und vergewissern Sie sich, dass es sich in einem funktionsfähigen Zustand befindet. Für die Zeitreihenüberwachung ist eine bestimmte Lizenz erforderlich. Weitere Informationen finden Sie im Handbuch für die Bereitstellung und Verwaltung von NSX Application Platform und Überwachen von Sicherheitsstatistiken.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Klicken Sie auf Sicherheit > TLS-Prüfung.
  3. Wählen Sie die Kategorie zum Definieren der Richtlinie aus und klicken Sie dann auf Richtlinie hinzufügen.
  4. Geben Sie einen Namen für die neue Richtlinie ein.
  5. (Optional) Wenn Sie verhindern möchten, dass mehrere Benutzer Änderungen am Abschnitt vornehmen, klicken Sie auf das Symbol Erweiterte Konfiguration. Klicken Sie dann auf Gesperrt und auf Anwenden.
  6. Wählen Sie die von Ihnen erstellte Richtlinie aus und klicken Sie dann auf Regel hinzufügen.
    Variable Beschreibung
    Quell-, Ziel- und L4-Dienste Entspricht denselben Feldern des eingehenden Datenverkehrs wie die Gateway-Firewallregel.
    Kontextprofil Definieren Sie ein Kontextprofil für die Klassifizierung des Datenverkehrs anhand der URL-Kategorie, der Reputation und des Domänennamens und wählen Sie es aus. Einzelheiten dazu finden Sie unter Kontextprofile.
    Aktionsprofil für die Entschlüsselung Definieren Sie ein Entschlüsselungsprofil für den übereinstimmenden Datenverkehr und wählen Sie es aus. Hierbei kann es sich um ein externes, internes oder ein Umgehungsprofil handeln. Weitere Informationen finden Sie unter „Erstellen von TLS-Entschlüsselungsaktionsprofilen“.
    Angewendet auf Wählen Sie ein oder mehrere Tier-1-Gateways aus.
  7. Klicken Sie auf Veröffentlichen.
    Sie haben die Erstellung Ihrer Richtlinie abgeschlossen.

Erstellen von TLS-Entschlüsselungsaktionsprofilen

In der TLS-Überprüfung haben Sie die Möglichkeit, drei Arten von Entschlüsselungsaktionsprofilen zu erstellen. In diesem Thema werden die Profile und ihre Verwendung beschrieben.

Die Entschlüsselungsaktionsprofile lauten:
  • Umgehungsentschlüsselungsprofile: Dieser Profiltyp wird für die Umgehung der Entschlüsselung von für bestimmte Website-Kategorien bestimmtem Datenverkehr aus Compliance- und Datenschutzgründen verwendet. Beispiel: Websites im Gesundheits- und Finanzwesen. Das Umgehungsprofil kann nicht geändert werden.
  • Externe Entschlüsselungsprofile: Diese Profile werden für TLS-Verbindungen verwendet, die für einen unternehmensfremden Dienst bestimmt sind. Beispiel: http://merriam-webster.com. Im Allgemeinen handelt es sich um Internet-Websites.
  • Interne Entschlüsselungsprofile: Diese Profile werden für TLS-Verbindungen verwendet, die für einen unternehmenseigenen Dienst bestimmt sind. Beispiel: http://www.corp.internal.com.
Eine Anleitung zum Erstellen von TLS-Entschlüsselungsaktionsprofilen finden Sie unter den folgenden Themen:
  • Erstellen eines Profils für die externe Entschlüsselung
  • Erstellen eines Aktionsprofils für die interne Entschlüsselung
  • Erstellen eines Aktionsprofils für die Umgehung der Entschlüsselung

Erstellen eines Profils für die externe Entschlüsselung

In diesem Thema werden die Schritte zum manuellen Konfigurieren eines Aktionsprofils für die externe Entschlüsselung beschrieben.

Voraussetzungen

  • Sie müssen über die richtige Benutzerrolle und die Berechtigungen zum Einrichten der TLS-Prüfung verfügen.
  • Ein Zertifikat von einer Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy und von einer Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy muss importiert worden sein oder für den Import bereitstehen, oder Sie müssen über die entsprechenden Informationen zum Generieren eines Zertifikats verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu Sicherheit > TLS-Prüfung > Profile.
  3. Klicken Sie auf Aktionsprofil für die Entschlüsselung hinzufügen > Externe Entschlüsselung.
  4. Geben Sie einen Namen für das neue Profil ein.
  5. (Optional) Wählen Sie eine Profileinstellung aus: „Ausgeglichen“ (Standard), „Hohe Wiedergabetreue“, „Hohe Sicherheit“, oder verwenden Sie „Benutzerdefiniert“, um die Untereinstellungen zu ändern.
    Profileinstellung Beschreibung
    Ungültige Zertifikate: „Zulassen“ oder „Blockieren und protokollieren“ Legen Sie Regeln fest, um Datenverkehr zuzulassen oder zu blockieren, wenn ein ungültiges Zertifikat vom Server präsentiert wird. Wenn „Zulassen“ ausgewählt ist und der Server ein abgelaufenes oder nicht vertrauenswürdiges Zertifikat präsentiert, kann die Verbindung mithilfe dieser Option fortgesetzt werden, indem ein Zertifikat für den nicht vertrauenswürdigen Proxy an den Client gesendet wird.
    Entschlüsselungsfehler: „Umgehen und protokollieren“ oder „Blockieren und protokollieren“ Legt fest, wie bei einem Entschlüsselungsfehler zu verfahren ist, der auf die Verwendung von mTLS (Mutual TLS) oder des Anheftens von Zertifikaten zurückzuführen sein könnte. Wenn „Umgehen und protokollieren“ ausgewählt ist, speichert NSX diese Domäne im Zwischenspeicher, und alle nachfolgenden Verbindungen mit der Domäne werden umgangen.
    Crypto-Erzwingung: „Transparent“ oder „Erzwingen“ Legt die minimale und maximale TLS-Version und Verschlüsselungs-Suites für den Client und den Server fest. Mithilfe der Option „Transparent“ können Sie dies umgehen.
  6. (Optional) Ändern Sie die Zeitüberschreitung für Verbindungen im Leerlauf. Dies ist die Zeit in Sekunden, in der der Server nach dem Herstellen einer TCP-Verbindung im Leerlauf bleiben kann. Die Standardeinstellung lautet 5400 Sekunden. Wählen Sie eine Zeitüberschreitung aus, die niedriger ist als die Leerlauf-Zeitüberschreitungseinstellungen für die Gateway-Firewall.
  7. (Optional) Wählen Sie Einstellungen für „Vertrauenswürdige CA“ aus, um „Vertrauenswürdige CA-Pakete“, „CRLs“ und die Option „OCSP-Stapling“ auszuwählen.
    Option Bezeichnung
    Vertrauenswürdiges CA-Paket Validiert das Zertifikat, das der externe Dienst für NSX präsentiert. Sie können das standardmäßige vertrauenswürdige CA-Paket verwenden oder ein neues CA-Paket importieren. Wählen Sie dann bei Bedarf mehrere Pakete pro Profil aus. Dieses Paket wird nicht automatisch aktualisiert, daher müssen Sie es nach Bedarf aktualisieren. Für weitere Informationen siehe Importieren oder Aktualisieren eines vertrauenswürdigen CA-Pakets unter „Zertifikatsverwaltung“.
    CRLs NSX enthält auch eine Zertifikatswiderrufsliste (Certification Revocation List, CRL) zum Validieren des dem Server präsentierten Zertifikats. Sie können die standardmäßige CRL verwenden oder eine neue CRL importieren und dann bei Bedarf mehrere CRLs pro Profil auswählen. Diese CRL wird nicht automatisch aktualisiert, daher müssen Sie sie nach Bedarf aktualisieren. Für weitere Informationen siehe Importieren und Abrufen von CRLs unter „Zertifikatsverwaltung“.
    OCSP-Stapling erfordern So erzwingen Sie OSCP-Stapling für das vorgelegte Serverzertifikat. Beim OCSP-Stapling fragt der Server, der das Zertifikat besitzt, den OCSP-Responder ab und bezieht die empfangene mit Zeitstempel und Signatur versehende OCSP-Antwort zusammen mit dem Zertifikat als CertificateStatusRequest-Erweiterung auf. Wenn der Server über ein verkettete Zertifikat verfügt, muss er das OCSP-Stapling auch für alle Zertifikate von Zwischenzertifizierungsstellen durchführen.
  8. Um ein Zertifikat von einer CA für einen vertrauenswürdigen Proxy oder einen nicht vertrauenswürdigen Proxy zu importieren oder zu generieren, klicken Sie auf die Registerkarte Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy oder Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy und führen Sie dann eine der beiden folgenden Aktionen aus:
    • Klicken Sie auf Importieren > CA-Zertifikat.
    • Klicken Sie auf Generieren > Selbstsigniertes CA-Zertifikat.

      Geben Sie die erforderlichen Details ein und klicken Sie auf „Speichern“. Nähere Informationen zum Importieren von Proxy-CAs finden Sie unter Importieren und Ersetzen von Zertifikaten.

  9. Klicken Sie auf Speichern, um das Profil zu speichern, das dann für TLS-Überprüfungsrichtlinien verwendet werden kann.

Ergebnisse

Sie können jetzt das Aktionsprofil für die Entschlüsselung verwenden, um Regeln für die externe Entschlüsselung auf Ihren Tier-1-Gateways einzurichten.

Nächste Maßnahme

Erstellen Sie Richtlinien und Regeln für die externe Entschlüsselung für die TLS-Prüfung.

Erstellen eines Aktionsprofils für die interne Entschlüsselung

In diesem Thema werden die Schritte zum manuellen Konfigurieren eines Aktionsprofils für die interne Entschlüsselung beschrieben.

Voraussetzungen

  • Sie müssen über die richtige Benutzerrolle und die Berechtigungen zum Einrichten der TLS-Prüfung verfügen.
  • Ein Zertifikat von einer Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy und von einer Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy muss importiert worden sein oder für den Import bereitstehen, oder Sie müssen über die entsprechenden Informationen zum Generieren des Zertifikats verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Klicken Sie auf Sicherheit > TLS-Prüfung > Profile.
  3. Klicken Sie auf Aktionsprofil für die Entschlüsselung hinzufügen > Interne Entschlüsselung.
  4. Geben Sie einen Namen für die neue Richtlinie ein.
  5. (Optional) Wählen Sie eine Profileinstellung aus: „Ausgeglichen“ (Standard), „Hohe Wiedergabetreue“, „Hohe Sicherheit“, oder verwenden Sie „Benutzerdefiniert“, um die Untereinstellungen zu ändern.
    Profileinstellung Beschreibung
    Entschlüsselungsfehler: „Umgehen und protokollieren“ oder „Blockieren und protokollieren“ Legt fest, wie bei einem Entschlüsselungsfehler zu verfahren ist, der auf die Verwendung von mTLS (Mutual TLS) oder des Anheftens von Zertifikaten zurückzuführen sein könnte. Wenn Sie „Umgehen und protokollieren“ auswählen, speichert NSX diese Domäne im Zwischenspeicher, und alle nachfolgenden Verbindungen mit der Domäne werden umgangen.
    Crypto-Erzwingung: „Transparent“ oder „Erzwingen“ Legt die minimale und maximale TLS-Version und Verschlüsselungs-Suites für den Client und den Server fest. Mithilfe der Option „Transparent“ können Sie dies umgehen.
  6. (Optional) Ändern Sie die Zeitüberschreitung für Verbindungen im Leerlauf. Dies ist die Zeit in Sekunden, in der der Server nach dem Herstellen einer TCP-Verbindung im Leerlauf bleiben kann. Die Standardeinstellung lautet 5400 Sekunden. Wählen Sie eine Zeitüberschreitung aus, die niedriger ist als die Leerlauf-Zeitüberschreitungseinstellungen für die Gateway-Firewall.
  7. Erweitern Sie den Abschnitt Serverzertifikate und ‑schlüssel und konfigurieren Sie ein oder mehrere interne Serverzertifikate.
    1. Importieren Sie ein Zertifikat oder ein CA-Zertifikat. Siehe Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats.
    2. Generieren Sie ein selbstsigniertes Zertifikat oder ein selbstsigniertes CA-Zertifikat.
    3. Wählen Sie ein vorhandenes Serverzertifikat aus, indem Sie auf das Kontrollkästchen vor der Zeile klicken.
    4. Legen Sie ein vorhandenes Serverzertifikat als Standard fest, indem Sie auf das Optionsfeld Standard am Ende der Zeile klicken.

    Wenn die SNI-Erweiterung im Client-Hello nicht vorhanden ist, wird dem Client das Standard-Serverzertifikat präsentiert. Wenn diese Option nicht konfiguriert ist, fängt der TLS-Proxy keine Verbindungen ab, die keine SNI-Erweiterung im Client-Hello enthalten. Wenn die SNI-Erweiterung im Client-Hello vorhanden ist, aber in der Liste der konfigurierten Zertifikate kein übereinstimmendes Zertifikat dafür vorhanden ist, fängt der TLS Proxy diese Verbindungen nicht ab.

    Wenn ein Client auf einen dieser internen Dienste zugreift, präsentiert der TLS-Proxy dieses ausgewählte Zertifikat anhand der Übereinstimmung der Serverdomäne dem Feld „Ausgegeben für“ (CN).

    Wenn mehr als ein Serverzertifikat konfiguriert ist, müssen alle Serverzertifikate über unterschiedliche Domänen verfügen, die durch Common Name (CN) oder Subject Alternative Name (SAN) angegeben sind. Zwei Zertifikate können nicht für dieselbe Domäne konfiguriert werden, entweder FQDN (z. B. www.vmware.com) oder Platzhalter (*.vmware.com). Zertifikate mit Platzhalterdomänen, die sich mit bestimmten FQDN-Zertifikaten überschneiden, sind jedoch zulässig. In solchen Fällen werden spezifischere Zertifikate gegenüber Platzhalterzertifikaten bevorzugt, während ein Zertifikat ausgewählt wird, das dem Client basierend auf der SNI-Erweiterung im Client-Hello präsentiert werden soll.

  8. (Optional) Standardmäßig ist die Validierung des Serverzertifikats optional und deaktiviert. Sie müssen dies nicht konfigurieren, wenn es sich um einen unternehmenseigenen Dienst handelt. Wenn Sie diese Validierung erzwingen möchten, aktivieren Sie die Validierung des Serverzertifikats, indem Sie sie Einschalten.
    1. Erweitern Sie den Abschnitt und konfigurieren Sie Ihre Validierungsoptionen. Sie können das standardmäßige vertrauenswürdige CA-Paket und CRL auswählen oder diese importieren.
    2. Klicken Sie auf Speichern.

Ergebnisse

Sie können jetzt das Aktionsprofil für die interne Entschlüsselung verwenden, um Richtlinien und Regeln für die TLS-Inspektion auf Ihren Tier-1-Gateways zu konfigurieren.

Nächste Maßnahme

Erstellen Sie interne Entschlüsselungsrichtlinien und ‑regeln für die TLS-Prüfung.

Erstellen eines Aktionsprofils für die Umgehung der Entschlüsselung

Dieses Thema enthält Details zum Aktionsprofil für die Umgehung der Entschlüsselung.

Voraussetzungen

Die Datenschutzrichtlinien Ihrer lokalen Regierung und Ihres Unternehmens verbieten möglicherweise die Entschlüsselung bestimmter Inhalte. Wenn der Client beispielsweise auf eine Finanzwebsite oder eine Website eines Gesundheitsdienstleisters zugreift, ist das Abfangen und Entschlüsseln dieses Datenverkehrs möglicherweise gesetzlich verboten.

Zur Vereinfachung der Konfiguration enthält NSX ein vordefiniertes Kontextprofil, default-bypass-highfidelity-profile, um diese Anforderungen zu erfüllen. NSX verwendet Kontextprofile, um Domänen-URLs abzugleichen, die bei der Entschlüsselung übersprungen oder umgangen werden sollen. Das Standardprofil enthält die URL-Kategorien „Gesundheitswesen“ und „Finanzwesen“.

In dieser Version können Sie weder Aktionsprofile zur Umgehung der Entschlüsselung erstellen noch das Standardprofil ändern. Das Standardprofil verfügt über die folgenden Profileinstellungen:
Profileinstellung Beschreibung
Ungültige Zertifikate: Zulassen Auf Zulassen festlegen: Wenn der Server ein abgelaufenes oder nicht vertrauenswürdiges Zertifikat präsentiert, kann mit dieser Option die Verbindung fortgesetzt werden.
Crypto-Erzwingung: Transparent Auf „Transparent“ festlegen: Wenn die URL der Profilregel für die Umgehung der Entschlüsselung entspricht, erfolgt keine Verschlüsselungs- oder TLS-Versionserzwingung.

Verwaltung von TLS-Prüfzertifikaten

Für die TLS-Prüfung in NSX-T Data Center ist ein Sicherheitszertifikat erforderlich. Um Datenverkehr für TLS-Prüfung und andere erweiterte Sicherheitsanwendungen abzufangen, zu entschlüsseln und zu verschlüsseln, müssen Sie den TLS-Proxy vorbereiten, damit er als transparenter Proxy für TLS-Verbindungen fungieren kann. NSX Manager benötigt diese Zertifikate, um eine Vertrauensstellung zwischen Anwendungen herzustellen.

Die Zertifikatsverwaltung unterstützt die folgenden Optionen für die TLS-Überprüfung.
  • Importieren Sie ein vorhandenes Zertifikat oder generieren Sie eine selbstsignierte oder CA-signierte CSR (Zertifikatsignierungsanforderung).
  • Exportieren Sie ein vorhandenes Zertifikat.
  • Importieren oder aktualisieren Sie ein standardmäßiges vertrauenswürdiges CA-Paket.
  • Importieren oder aktualisieren Sie eine standardmäßige Zertifikatswiderrufsliste (CRL).
  • Erweiterte Filterung für alle vordefinierten Filteroptionen.
  • Banner „Abgelaufenes Zertifikat“ auf der Seite „Zertifikate“.
  • Farbcodierte Benachrichtigung über gültige bzw. ungültige Zertifikate.

Informationen zu diesen Optionen finden Sie unter Zertifikate.

Der TLS-Proxy erfordert ein CA-Zertifikat. Dies wird auch als Proxy-CA bezeichnet. NSX Manager verwendet die Proxy-CA zum Generieren von Zertifikaten, die die Identität der Endpoints in der abgefangenen Verbindung annehmen. Er hilft also dabei, Zertifikate für den abgefangenen Datenverkehr auf Websiteservern zu spoofen. Sie haben die Auswahl zwischen zwei Arten von Proxy-CA-Zertifikaten:

Um Zertifikate zu generieren, die die Identität der Endpoints in der abgefangenen Verbindung annehmen, benötigt der TLS-Proxy ein CA-Zertifikat. Dies wird auch als Proxy-CA bezeichnet. NSX Manager verwendet die Proxy-CA, hilft also beim Spoofen. Sie haben die Auswahl zwischen zwei Arten von Proxy-CA-Zertifikaten:
  • Selbstsignierte Zertifikate werden in der Regel für Tests oder beschränkte Bereitstellungen ohne Vertrauensstellung verwendet. Dieser Workflow beginnt mit einer Anforderung an den NSX Manager, damit dieser ein CA-Zertifikat-Schlüsselpaar mit einer Zertifikatsignierungsanforderung (CSR) generiert. Anschließend wird der NSX manager aufgefordert, die CSR selbst zu signieren.
  • Eine ausstellende Enterprise-CA signiert vertrauenswürdige untergeordnete CA-Zertifikate. Dieser Workflow beginnt mit einer Anforderung an den NSX Manager, damit dieser ein CA-Zertifikat-Schlüsselpaar mit einer CSR generiert, die CSR herunterlädt, sie dann an die ausstellende CA übermittelt, die schließlich ein signiertes Zertifikat empfängt. Anschließend wird das signierte öffentliche CA-Zertifikat auf den NSX Manager hochgeladen. Der Upload kann eine Zertifikatskette enthalten. Zertifikatsketten sind Zwischensignaturzertifikate zwischen dem neuen Zertifikat und dem Stamm-CA-Zertifikat.

Für das Hochladen eines neuen CA-Zertifikats auf den NSX manager gibt es mehrere Möglichkeiten: Sie können den TLS-Assistenten in der Benutzeroberfläche verwenden, das Zertifikat manuell über die Benutzeroberfläche hinzufügen oder die NSX API verwenden. Einzelheiten dazu finden Sie unter Importieren eines CA-Zertifikats.

Vertrauenswürdige CA-Pakete

Nach der Einrichtung werden diese CA-Zertifikate an die Knoten verteilt, auf denen der TLS-Proxy ausgeführt wird. Sie können mehrere CA-Zertifikatpakete mit unterschiedlichen Namen hochladen. Jedes vom TLS-Proxy verwendete CA-Paket wird im Aktionsprofil für die Entschlüsselung konfiguriert. Beim Hochladen wird das CA-Paket als gut gebildete Verkettung von PEM-codierten Zertifikaten validiert und nicht gespeichert, wenn es ungültig ist. Wenn ein Paket ungültig ist, gibt es API-Fehlermeldungen zurück.

Ein einzelnes Paket ist auf 1 MB und 1.000 Zertifikate beschränkt.

Zertifikatswiderrufsliste

Um sicherzustellen, dass die von den Endpoints der abgefangenen Verbindung angebotenen Zertifikate nicht widerrufen werden, können Sie die TLS-Proxy-CRL (default_public_crl) verwenden. Sie können dieses Objekt aktualisieren, indem Sie eine neue CRL hochladen, die die vorhandene CRL ersetzt. Sie können sie in Richtlinienprofilen verwenden. Verwenden Sie zum Hochladen einer neuen CRL in den NSX Manager die Benutzeroberfläche oder die API. Die CRL wird an die Knoten verteilt, auf denen der TLS-Proxy ausgeführt wird. Die API validiert die CRL beim Hochladen und verweigert ihre Speicherung, wenn sie ungültig ist. NSX unterstützt zwei CRL-Formate:
  • PEM-codierte X.509-CRL: maximale Größe von 40 MB, 500.000 Einträge
  • Mozilla OneCRL: maximale Größe von 5 MB, 10.000 Einträge

Alarmbehandlung für TLS-Prüfzertifikate

Wenn Sie Ihre Proxy-CA-Zertifikate nicht pflegen und diese sich dem Ablaufdatum nähern oder abgelaufen sind oder Sie ein abgelaufenes CA-Zertifikat erhalten haben, benachrichtigt Sie NSX Manager durch Alarme.

NSX löst für ablaufende oder abgelaufene Zertifikate in CA-Paketen denselben Alarmsatz aus.

Möglicherweise erhalten Sie auch Fehler beim Remote-Protokollierungsserver aufgrund eines ungültigen TLS-Zertifikats. Folgender Ereignisfehler wird protokolliert: Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.. Überprüfen Sie mit dem openssl-Befehl openssl x509 -in <cert-file-path> -noout -dates, ob das angegebene Zertifikat gültig ist. Sie können Zertifikate auch in der Benutzeroberfläche der TLS-Überprüfung anzeigen und aktualisieren.

Weitere Details zum Ablauf von Zertifikaten finden Sie unter Alarmbenachrichtigung bei Ablauf des Zertifikats. Weitere Informationen zu TLS-spezifischen „Zertifikatsereignissen“ aus dem NSX Manager finden Sie unter Ereigniskatalog.