En este tema se indican los pasos para configurar manualmente un perfil de acción de descifrado interno.

Requisitos previos

  • Debe tener la función de usuario y los permisos correctos para configurar la inspección de TLS.
  • Debe tener un certificado de servidor interno importado o listo para importarlo, o tener la información relacionada para generar el certificado.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Inspección TLS > Perfiles.
  3. Haga clic en Agregar perfil de acción de descifrado > Descifrado interno.
  4. Introduzca un nombre para la nueva directiva.
  5. (Opcional) Seleccione un ajuste de perfil: Equilibrado (predeterminado), Alta fidelidad, Alta seguridad, o utilice Personalizado para cambiar la sububicación.
    Ajustes del perfil Descripción
    Error de descifrado: Omitir y registrar o Bloquear y registrar Establece qué hacer cuando se produce un error de descifrado que podría deberse a mTLS (TLS mutuo) o a la fijación de certificados en uso. Si selecciona Omitir y registrar, NSX almacenará en caché este dominio y se omitirán todas las conexiones posteriores al dominio.
    Aplicación de cifrado: Transparente o Aplicación Establece las versiones mínima y máxima de TLS y los conjuntos de claves de cifrado para el cliente y el servidor. Puede omitir esta opción mediante la opción Transparente.
  6. (Opcional) Modificar el tiempo de espera de conexión inactiva. Es el tiempo en segundos que el servidor puede permanecer inactivo después de establecer una conexión TCP. El valor predeterminado es 5400 segundos. Mantenga este tiempo de espera por debajo de la configuración de tiempo de espera de inactividad del firewall de puerta de enlace.
  7. Expanda la sección Claves y certificados de servidor y configure uno o varios certificados de servidor internos.
    1. Importar un certificado o un certificado de CA. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
    2. Genere un certificado autofirmado o un certificado de CA autofirmado.
    3. Para seleccionar un certificado de servidor existente, haga clic en la casilla de verificación situada en la parte frontal de la fila.
    4. Haga que un certificado de servidor existente sea el predeterminado haciendo clic en el botón de opción Predeterminado al final de la fila.

    Si la extensión SNI no está presente en el saludo del cliente, el certificado del servidor predeterminado se presentará al cliente. Si esta opción no está configurada, el proxy TLS no interceptará las conexiones que no contengan ninguna extensión SNI en el saludo del cliente. Si la extensión SNI está presente en el saludo del cliente, pero no hay ningún certificado coincidente para ese en la lista de certificados configurados, el proxy TLS no interceptará estas conexiones.

    Cuando un cliente accede a uno de esos servicios internos, el proxy TLS presentará este certificado seleccionado en función de la coincidencia del dominio del servidor con el campo Emitido por campo (CN).

    Si se configura más de un certificado de servidor, todos deben tener dominios diferentes, especificados por nombre común (CN) o Nombre alternativo del sujeto (SAN). No se pueden configurar dos certificados para el mismo dominio, ya sea un FQDN (por ejemplo, www.vmware.com) o un comodín (*.vmware.com). Sin embargo, se permiten certificados con dominios comodín que se superpongan con certificados FQDN específicos. En estos casos, se prefiere un certificado más específico que un certificado comodín al mismo tiempo que se selecciona un certificado para presentarlo al cliente en función de la extensión SNI en el saludo del cliente.

  8. (Opcional) De forma predeterminada, la validación del certificado del servidor es opcional y está deshabilitada de forma predeterminada. No es necesario configurarlo si es un servicio que pertenece a la empresa. Si desea aplicar esta validación, active el botón Validación del certificado del servidor poniéndolo en la posición Activado.
    1. Expanda la sección y configure las opciones de validación. Puede elegir la CRL y el paquete de CA de confianza predeterminados o importarlos.
    2. Haga clic en Guardar.

Resultados

Ahora puede utilizar el perfil de acción de descifrado interno para configurar las directivas y las reglas de inspección de TLS en las puertas de enlace de nivel 1.

Qué hacer a continuación

Cree reglas y directivas de descifrado interno de inspección de TLS.