In diesem Thema werden die Schritte zum manuellen Konfigurieren eines Aktionsprofils für die externe Entschlüsselung beschrieben.
Voraussetzungen
- Sie müssen über die richtige Benutzerrolle und die Berechtigungen zum Einrichten der TLS-Prüfung verfügen.
- Ein Zertifikat von einer Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy und von einer Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy muss importiert worden sein oder für den Import bereitstehen, oder Sie müssen über die entsprechenden Informationen zum Generieren eines Zertifikats verfügen.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Navigieren Sie zu .
- Klicken Sie auf Aktionsprofil für die Entschlüsselung hinzufügen > Externe Entschlüsselung.
- Geben Sie einen Namen für das neue Profil ein.
- (Optional) Wählen Sie eine Profileinstellung aus: „Ausgeglichen“ (Standard), „Hohe Wiedergabetreue“, „Hohe Sicherheit“, oder verwenden Sie „Benutzerdefiniert“, um die Untereinstellungen zu ändern.
Profileinstellung |
Beschreibung |
Ungültige Zertifikate: „Zulassen“ oder „Blockieren und protokollieren“ |
Legen Sie Regeln fest, um Datenverkehr zuzulassen oder zu blockieren, wenn ein ungültiges Zertifikat vom Server präsentiert wird. Wenn „Zulassen“ ausgewählt ist und der Server ein abgelaufenes oder nicht vertrauenswürdiges Zertifikat präsentiert, kann die Verbindung mithilfe dieser Option fortgesetzt werden, indem ein Zertifikat für den nicht vertrauenswürdigen Proxy an den Client gesendet wird. |
Entschlüsselungsfehler: „Umgehen und protokollieren“ oder „Blockieren und protokollieren“ |
Legt fest, wie bei einem Entschlüsselungsfehler zu verfahren ist, der auf die Verwendung von mTLS (Mutual TLS) oder des Anheftens von Zertifikaten zurückzuführen sein könnte. Wenn „Umgehen und protokollieren“ ausgewählt ist, speichert NSX diese Domäne im Zwischenspeicher, und alle nachfolgenden Verbindungen mit der Domäne werden umgangen. |
Crypto-Erzwingung: „Transparent“ oder „Erzwingen“ |
Legt die minimale und maximale TLS-Version und Verschlüsselungs-Suites für den Client und den Server fest. Mithilfe der Option „Transparent“ können Sie dies umgehen. |
- (Optional) Ändern Sie die Zeitüberschreitung für Verbindungen im Leerlauf. Dies ist die Zeit in Sekunden, in der der Server nach dem Herstellen einer TCP-Verbindung im Leerlauf bleiben kann. Die Standardeinstellung lautet 5400 Sekunden. Wählen Sie eine Zeitüberschreitung aus, die niedriger ist als die Leerlauf-Zeitüberschreitungseinstellungen für die Gateway-Firewall.
- (Optional) Wählen Sie Einstellungen für „Vertrauenswürdige CA“ aus, um „Vertrauenswürdige CA-Pakete“, „CRLs“ und die Option „OCSP-Stapling“ auszuwählen.
Option |
Bezeichnung |
Vertrauenswürdiges CA-Paket |
Validiert das Zertifikat, das der externe Dienst für NSX präsentiert. Sie können das standardmäßige vertrauenswürdige CA-Paket verwenden oder ein neues CA-Paket importieren. Wählen Sie dann bei Bedarf mehrere Pakete pro Profil aus. Dieses Paket wird nicht automatisch aktualisiert, daher müssen Sie es nach Bedarf aktualisieren. Für weitere Informationen siehe Importieren oder Aktualisieren eines vertrauenswürdigen CA-Pakets unter „Zertifikatsverwaltung“. |
CRLs |
NSX enthält auch eine Zertifikatswiderrufsliste (Certification Revocation List, CRL) zum Validieren des dem Server präsentierten Zertifikats. Sie können die standardmäßige CRL verwenden oder eine neue CRL importieren und dann bei Bedarf mehrere CRLs pro Profil auswählen. Diese CRL wird nicht automatisch aktualisiert, daher müssen Sie sie nach Bedarf aktualisieren. Für weitere Informationen siehe Importieren und Abrufen von CRLs unter „Zertifikatsverwaltung“. |
OCSP-Stapling erfordern |
So erzwingen Sie OSCP-Stapling für das vorgelegte Serverzertifikat. Beim OCSP-Stapling fragt der Server, der das Zertifikat besitzt, den OCSP-Responder ab und bezieht die empfangene mit Zeitstempel und Signatur versehende OCSP-Antwort zusammen mit dem Zertifikat als CertificateStatusRequest-Erweiterung auf. Wenn der Server über ein verkettete Zertifikat verfügt, muss er das OCSP-Stapling auch für alle Zertifikate von Zwischenzertifizierungsstellen durchführen. |
- Um ein Zertifikat von einer CA für einen vertrauenswürdigen Proxy oder einen nicht vertrauenswürdigen Proxy zu importieren oder zu generieren, klicken Sie auf die Registerkarte Zertifizierungsstelle (CA) für vertrauenswürdigen Proxy oder Zertifizierungsstelle (CA) für nicht vertrauenswürdigen Proxy und führen Sie dann eine der beiden folgenden Aktionen aus:
- Klicken Sie auf Speichern, um das Profil zu speichern, das dann für TLS-Überprüfungsrichtlinien verwendet werden kann.
Ergebnisse
Sie können jetzt das Aktionsprofil für die Entschlüsselung verwenden, um Regeln für die externe Entschlüsselung auf Ihren Tier-1-Gateways einzurichten.
Nächste Maßnahme
Erstellen Sie Richtlinien und Regeln für die externe Entschlüsselung für die TLS-Prüfung.