Puede crear un perfil de aplicación de HTTPS para tres tipos de tráfico HTTPS: acceso directo a SSL, descarga de HTTPS y HTTPS de extremo a extremo. El flujo de trabajo para crear el perfil de aplicación es diferente para cada tipo de tráfico HTTPS.

Nota:
  • Desde la versión 6.4.5 de NSX, el menú desplegable Tipo de perfil de aplicación (Application Profile Type) incluye opciones diferentes que permiten crear un perfil para cada uno de los tres tipos de tráfico HTTPS.
  • En NSX 6.4.4 y versiones anteriores, el menú desplegable Tipo (Type) solo contiene una única opción HTTPS. Si quiere crear un perfil para uno de los tres tipos de tráfico HTTPS, debe especificar los parámetros de perfil correspondientes.
  • El equilibrador de carga de NSX no es compatible con el acceso directo a SSL del proxy.
Desde la versión 6.4.5 de NSX, se han modificado las terminologías de interfaz de usuario de un par de parámetros del perfil de HTTPS. Los cambios se incluyen en la tabla siguiente.
NSX 6.4.4 y versiones anteriores NSX 6.4.5 y versiones posteriores
Certificados de servidor virtual (Virtual Server Certificates) SSL de cliente
Certificados de grupo (Pool Certificates) SSL de servidor
En la siguiente tabla, se describen los tres tipos de tráfico HTTPS.
Tabla 1. Tipos de tráfico HTTPS
Tipo de tráfico HTTPS Descripción
Acceso directo a SSL

Las reglas de aplicaciones relacionadas con los atributos SSL están permitidas sin necesidad de una terminación SSL en el equilibrador de carga.

El patrón de tráfico es: Cliente -> HTTPS-> LB (acceso directo a SSL) -> HTTPS -> Servidor.

Descarga de HTTPS

Se produce un equilibrio de carga basado en HTTP. SSL termina en el equilibrador de carga y se utiliza HTTP entre el equilibrador de carga y el grupo de servidores.

El patrón de tráfico es: Cliente -> HTTPS-> LB (final de SSL) -> HTTP -> Servidor.

HTTPS de extremo a extremo

Se produce un equilibrio de carga basado en HTTP. SSL termina en el equilibrador de carga y se utiliza HTTPS entre el equilibrador de carga y el grupo de servidores.

El patrón de tráfico es: Cliente -> HTTPS-> LB (final de SSL) -> HTTPS -> Servidor.

La siguiente tabla describe la persistencia compatible con los tipos de tráfico HTTPS.
Tabla 2. Tipos de persistencia compatibles
Persistencia Descripción
IP de origen

Este tipo de persistencia realiza un seguimiento de las sesiones según la dirección IP de origen.

Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia de dirección IP de origen, el equilibrador de carga comprueba si ese cliente se conectó anteriormente. Si lo hizo, el equilibrador de carga devuelve al cliente al mismo miembro del grupo.

ID de sesión SSL

Este tipo de persistencia está disponible cuando crea un perfil para el tipo de tráfico de acceso directo a SSL.

La persistencia de ID de sesión SSL garantiza que las conexiones repetidas del mismo cliente se envíen al mismo servidor. La persistencia de ID de sesión permite reanudar la sesión SSL, lo que ahorra tiempo de procesamiento tanto al cliente como al servidor.

Cookie

Este tipo de persistencia inserta una cookie única para identificar la sesión la primera vez que un cliente accede al sitio.

En las solicitudes posteriores se acude a la cookie para persistir en la conexión al servidor apropiado.

En el caso de los tipos de persistencia IP de origen e ID de sesión SSL, puede introducir el tiempo de caducidad de la persistencia en segundos. El valor predeterminado de la persistencia es de 300 segundos (5 minutos).
Recordatorio: La tabla de persistencia tiene un tamaño limitado. Si el tráfico es intenso, un valor elevado de tiempo de espera puede causar que la tabla de persistencia se rellene lentamente. Cuando se llena la tabla de persistencia, se elimina la entrada más antigua para aceptar la entrada más reciente.
La tabla de persistencia del equilibrador de carga mantiene las entradas para registrar que las solicitudes de los clientes se dirigen al mismo miembro del grupo.
  • Si no se reciben nuevas solicitudes de conexión del mismo cliente dentro del tiempo de espera, la entrada de persistencia caducará y se eliminará.
  • Si se recibe una nueva solicitud de conexión del mismo cliente dentro del período de tiempo de espera, se restablece el temporizador y se envía la solicitud de cliente a un miembro estable del grupo.
  • Una vez transcurrido el tiempo de espera, se enviarán nuevas solicitudes de conexión a un miembro del grupo asignado por el algoritmo de equilibrio de carga.

En el escenario de persistencia de la IP de origen de la TCP del equilibrio de carga de Capa 7, el tiempo de espera de la entrada de persistencia se agota si no se producen nuevas conexiones TCP durante un periodo de tiempo, aunque las conexiones existentes aún estén activas.

La tabla siguiente indica los conjuntos de claves de cifrado aprobados que se pueden utilizar para negociar los ajustes de seguridad durante el enlace de SSL o TLS.

Tabla 3. Conjuntos de claves de cifrado aprobados
Valor de cifrado Nombre de cifrado
DEFAULT DEFAULT
ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA
ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384

El procedimiento siguiente explica los pasos que permiten crear un perfil de aplicación para cada uno de los tres tipos de tráfico HTTPS.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) > NSX Edge.
  3. Haga doble clic en un dispositivo NSX Edge.
  4. Haga clic en Administrar (Manage) > Equilibrador de carga (Load Balancer) > Perfiles de aplicación (Application Profiles).
  5. Haga clic en Agregar.
    Se abrirá la ventana Nuevo perfil de aplicación (New Application Profile).
  6. Indique los parámetros del perfil de aplicación.

    Pasos para el tipo de tráfico Acceso directo a SSL

    Versión de NSX Procedimiento
    6.4.5 y posteriores
    1. En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Acceso directo a SSL (SSL Passthrough).
    2. Introduzca el nombre del perfil.
    3. Seleccione el tipo de persistencia.
    4. Introduzca el tiempo de caducidad de la persistencia.
    5. Haga clic en Agregar (Add).
    6.4.4 y anteriores
    1. Introduzca el nombre del perfil.
    2. En el menú desplegable Tipo (Type), seleccione HTTPS.
    3. Seleccione la casilla Habilitar Passthrough SSL (Enable SSL Passthrough).
    4. Seleccione el tipo de persistencia.
    5. Introduzca el tiempo de caducidad de la persistencia.
    6. Haga clic en Aceptar (OK).

    Pasos para el tipo de tráfico Descarga de HTTPS

    Versión de NSX Procedimiento
    6.4.5 y posteriores
    1. En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione Descarga de HTTPS (HTTPS Offloading).
    2. Introduzca el nombre del perfil.
    3. Introduzca la URL a la que quiere redirigir el tráfico HTTP.
    4. Seleccione el tipo de persistencia.
      • Para el tipo de persistencia Cookie, introduzca el nombre de la cookie y seleccione el modo de inserción de la cookie. Para obtener una descripción de cada modo de cookie, consulte Crear un perfil de aplicación de HTTP.
      • Para el tipo de persistencia IP de origen, introduzca el tiempo de caducidad de la persistencia.
    5. Opcional: Para identificar la dirección IP de origen de un cliente que se conecta a un servidor web a través del equilibrador de carga, habilite la opción Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header).
    6. Haga clic en la pestaña SSL cliente (Client SSL).
    7. Seleccione uno o varios algoritmos de clave de cifrado o un conjunto de claves de cifrado para utilizarlos durante el enlace de SSL. Asegúrese de que el conjunto de claves de cifrado aprobado contiene la longitud de la clave DH superior o igual a 1024 bits.
    8. Especifique si la autenticación de clientes se debe ignorar o debe ser obligatoria. Si es necesario, el cliente deberá proporcionar un certificado tras la cancelación de la solicitud o del enlace.
    9. Seleccione el certificado de servicio, el certificado de CA y la CRL requeridos que debe utilizar el perfil para finalizar el tráfico HTTPS del cliente en el equilibrador de carga.
    10. Haga clic en Agregar (Add).
    6.4.4 y anteriores
    1. Introduzca el nombre del perfil.
    2. En el menú desplegable Tipo (Type), seleccione HTTPS.
    3. Siga los pasos indicados en esta tabla para NSX 6.4.5 y versiones posteriores si quiere establecer los parámetros del perfil de aplicación siguientes:
      • URL de redireccionamiento de HTTP (HTTP Redirect URL)
      • Persistencia
      • Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header)
    4. Haga clic en la pestaña Certificados de servidor virtual (Virtual Server Certificates).
    5. Siga los pasos indicados en esta tabla para NSX 6.4.5 y versiones posteriores si quiere establecer algoritmos de clave de cifrado y la autenticación de cliente.
    6. Haga clic en Configurar certificados de servicio (Configure Service Certificates) y seleccione el certificado de servicio, el certificado de CA y la CRL requeridos que debe utilizar el perfil para finalizar el tráfico HTTPS del cliente en el equilibrador de carga.
    7. Haga clic en Aceptar (OK).

    Pasos para el tipo de tráfico HTTPS de extremo a extremo

    En este tipo de perfil de aplicación, especifica los parámetros de SSL cliente (certificados de servidor Virtual) y los parámetros de servidor SSL (SSL del grupo).

    Los parámetros de servidor SSL se utilizan para autenticar el equilibrador de carga del servidor. Si el equilibrador de carga de Edge tiene un certificado de CA y una CRL ya configurados y el equilibrador de carga necesita verificar un certificado de servicio de los servidores back-end, seleccione el certificado de servicio. También puede proporcionar el certificado del equilibrador de carga al servidor back-end si este servidor necesita verificar el certificado de servicio del equilibrador de carga.

    Versión de NSX Procedimiento
    6.4.5 y posteriores
    1. En el menú desplegable Tipo de perfil de aplicación (Application Profile Type), seleccione HTTPS de extremo a extremo (HTTPS End-to-End).
    2. Introduzca el nombre del perfil.
    3. Siga los pasos indicados en la tabla para crear un perfil de descarga de HTTPS si quiere establecer los siguientes parámetros del perfil de aplicación:
      • URL de redireccionamiento de HTTP (HTTP Redirect URL)
      • Persistencia
      • Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header)
      • SSL cliente (Client SSL): algoritmos de clave de cifrado, autenticación de cliente, certificado de servicio, certificado de CA y CRL
    4. Haga clic en la pestaña Servidor SSL (SSL Server) y seleccione los algoritmos de clave de cifrado, así como el certificado de servicio, el certificado de CA y la CRL requeridos para autenticar el equilibrador de carga del sevidor.
    5. Haga clic en Agregar (Add).
    6.4.4 y anteriores
    1. Introduzca el nombre del perfil.
    2. En el menú desplegable Tipo (Type), seleccione HTTPS.
    3. Siga los pasos indicados en la tabla para crear un perfil de descarga de HTTPS si quiere establecer los siguientes parámetros del perfil de aplicación:
      • URL de redireccionamiento de HTTP (HTTP Redirect URL)
      • Persistencia
      • Insertar encabezado X-Forwarded-For HTTP (Insert X-Forwarded-For HTTP header)
      • Certificados de servidor virtual (Virtual Server Certificates): algoritmos de clave de cifrado, autenticación de cliente, certificado de servicio, certificado de CA y CRL
    4. Seleccione la casilla de verificación Habilitar SSL del grupo (Enable Pool Side SSL) para habilitar la comunicación HTTPS entre el equilibrador de carga y los servidores back-end.
    5. Seleccione los algoritmos de clave de cifrado, así como el certificado de servicio, el certificado de CA y la CRL requeridos para autenticar el equilibrador de carga del sevidor.
    6. Haga clic en Aceptar (OK).