Ab NSX-T Data Center 3.2 können Sie jetzt ein integriertes Paket von einer vertrauenswürdigen Zertifizierungsstelle (CA) für die Vertrauenskette der TLS-Prüfung verwenden, um erweiterte Sicherheitsanwendungen wie IDS/IPS, URL-Filterung, Malware-Schutz und eine präzise App-ID zu unterstützen.

Vorsicht: Diese Funktion ist nur im Modus für die technische Vorschau verfügbar. Weitere Informationen zu den Funktionen der technischen Vorschau erhalten Sie in den Versionshinweisen zu NSX-T Data Center.
Sie können das integrierte CA-Paket, nsx_default_trusted_public_ca_bundle, intern für die TLS-Prüfung und Entschlüsselung für Gateway-Firewalls verwenden.

Für externe Dienste benötigt der TLS-Proxy ein konfiguriertes vertrauenswürdiges CA-Paket, um das von einem externen Dienst präsentierte Zertifikat zu validieren. Sie können die External_Decryption_Profile.trusted_ca_bundles mit einem oder mehreren CA-Paketen konfigurieren, wobei jedes Paket eine Liste von Zertifikaten ist. Sie müssen mindestens ein CA-Paket konfigurieren. In der Regel verwenden externe Dienste bekannte Zertifizierungsstellen wie Verisign und DigiCert. Um die Konfiguration zu erleichtern, enthält NSX ein integriertes default_trusted_public_ca_bundle, das eine Liste gängiger CA-Zertifikate enthält. Hierbei verhält es sich ähnlich wie bei der Vorinstallation häufig verwendeter CA-Zertifikate in Betriebssystemen. Sie können dieses Paket aktualisieren oder Ihr eigenes CA-Paket erstellen und stattdessen verwenden.

In NSX-T Data Center können Sie die folgenden Aufgaben durchführen. Sie finden vertrauenswürdige CA-Pakete, indem Sie auf System > Zertifikate > Vertrauenswürdige CA-Pakete klicken.
  • Überprüfen Sie die TLS-Prüfung und Entschlüsselung mithilfe des standardmäßigen vertrauenswürdigen CA-Pakets.
  • Zeigen Sie alle Zertifikate im CA-Paket an. Dabei können Sie über die Schaltfläche Alle Zertifikate anzeigen nach grundlegenden Details filtern.
  • Suchen Sie mithilfe der Schaltfläche Alle Zertifikate anzeigen nach abgelaufenen, ablaufenden, gültigen, verwendeten und nicht verwendeten CA-Paketen.
  • Bearbeiten Sie den Anzeigenamen des CA-Pakets und fügen Sie Zertifikate zum Paket hinzu oder entfernen Sie Zertifikate aus dem Paket.
  • Exportieren Sie ein CA-Paket zur Aufnahme auf andere Geräte.
  • Kopieren Sie den Pfad des CA-Pakets lokal.