Inspección TLS se utiliza para detectar e impedir amenazas avanzadas a través de canales TLS cifrados. Inspección TLS descifra de forma transparente el tráfico cifrado y lo pone a disposición de funciones de seguridad avanzadas, como IDS/IPS, prevención de malware y filtrado de URL. Esto proporciona visibilidad del tráfico cifrado sin descarga y, al mismo tiempo, mantiene el cifrado de extremo a extremo.

Sin inspección de TLS, aunque habilite todas las funciones de seguridad avanzadas para el firewall de puerta de enlace, no podrá aplicar ni tener visibilidad del tráfico cifrado que pueda tener malware oculto dentro de los paquetes. El descifrado de TLS permite a los administradores tener un control de acceso más efectivo y detección y prevención de amenazas en el tráfico cifrado.

Precaución: Esta función está disponible en modo de vista previa técnica. Para obtener más información sobre las funciones de vista previa técnica, consulte las Notas de la versión de NSX-T Data Center.
  • Soporte de inspección de TLS
  • Conceptos de inspección de TLS
  • Directivas de inspección de TLS
  • Crear perfiles de acción de descifrado TLS
  • Administración de certificados de inspección de TLS

Soporte de inspección de TLS

En este tema se describe la compatibilidad con la Inspección TLS en NSX-T Data Center.

La compatibilidad con la inspección de TLS incluye:

  • Solo se admite en puertas de enlace de nivel 1.
  • Se admiten TLS de la versión 1.0 a la 1.2. Se admite TLS 1.2 con confidencialidad directa total (PFS). Si se utiliza la versión 1.3, el proxy de NSX negocia con una versión anterior y establece una conexión.
  • Aprovechar la indicación de nombre de servidor TLS (SNI) en el saludo del cliente TLS para clasificar el tráfico.
  • Visibilidad del tráfico cifrado sin descarga al mismo tiempo que se conserva el cifrado de extremo a extremo.
  • Descifrado de TLS en firewalls de puerta de enlace para interceptar el tráfico y descifrarlo para introducirlo en las funciones avanzadas de seguridad del firewall.
  • Directivas de Inspección TLS para crear un conjunto de reglas que describen las condiciones que deben coincidir y realizar una acción predefinida.
  • Las reglas de directiva de Inspección TLS admiten perfiles de acciones de descifrado internos y externos.

Conceptos de Inspección TLS

Inspección TLS detecta e impide amenazas avanzadas en la red a través de canales TLS cifrados. Este tema incluye conceptos asociados con las funciones de Inspección TLS.

Protocolo TLS

En este tema se describe cómo funciona el protocolo de enlace del protocolo TLS para establecer un canal cifrado entre el cliente y el servidor. La siguiente ilustración del protocolo TLS proporciona los diversos pasos necesarios para formar un canal cifrado.
Figura 1. Protocolo TLS
Protocolo de enlace de tres vías de TLS
Para resumir el protocolo TLS:
  • TLS inicia una sesión TLS a través de una sesión TCP establecida entre el cliente y el servidor (también conocido como protocolo de enlace de tres vías).
  • El cliente envía un mensaje de saludo que incluye la versión y el cifrado de TLS compatibles y la extensión indicación de nombre de servidor (SNI). El SNI en el saludo de cliente TLS es lo que Inspección TLS utiliza para clasificar el tráfico mediante el perfil de contexto para utilizar los perfiles de descifrado internos, externos u omitir.
  • El servidor responde con el certificado del servidor para la autenticación e identificación, y un mensaje de saludo de servidor con la versión y el cifrado propuestos por el cliente.
  • Una vez que el cliente valida el certificado y verifica la versión y el cifrado finales, genera una clave de sesión simétrica y la envía al servidor.
  • Para iniciar el túnel TLS seguro que intercambia datos de la aplicación a través del canal TLS cifrado, el servidor valida la clave de sesión y envía el mensaje finalizado.

De forma predeterminada, el protocolo TLS solo prueba la identidad del servidor para el cliente mediante el certificado X.509 y la autenticación del cliente en el servidor se deja en la capa de aplicaciones.

Tipos de descifrado TLS

La función Inspección TLS permite a los usuarios definir directivas para descifrar o omitir el descifrado. La función inspección de TLS permite dos tipos de descifrado:
  • Descifrado de TLS interno: para el tráfico que se dirige a un servicio interno empresarial en el que se poseen el servicio, el certificado y la clave privada. Esto también se denomina proxy inverso TLS o descifrado entrante.
  • Descifrado de TLS externo: para el tráfico que se dirige a un servicio externo (Internet) en el que la empresa no posee el servicio, su certificado y la clave privada. Esto también se denomina proxy de reenvío o descifrado saliente de TLS.
En el siguiente diagrama, se muestra cómo se gestiona el tráfico mediante los tipos de descifrado interno y externo de TLS.
Figura 2. Tipos de descifrado de TLS de NSX
El descifrado NSX Gateway Firewall TLS de los tipos interno y externo
En el diagrama y la tabla siguientes se explica cómo funciona el descifrado externo de TLS con NSX.
Figura 3. Cómo funciona la descripción externa
Flujo de trabajo de descifrado externo para inspección de TLS
Llamada Flujo de trabajo
1 El SNI de saludo del cliente TLS coincide con el perfil de contexto de directiva de Inspección TLS.
2 NSX intercepta la sesión TLS del cliente e inicia una nueva sesión en el servidor deseado.
3 NSX aplica la versión y el cifrado de TLS (que se puede configurar).
4 El servidor responde al cliente con un certificado TLS
5 NSX valida el certificado del servidor mediante el paquete de CA de confianza, genera un certificado de CA proxy de forma dinámica y lo presenta al cliente.

En el diagrama y la tabla siguientes se explica cómo funciona el descifrado interno de TLS con NSX.

Figura 4. Cómo funciona la descripción interna
Flujo de trabajo de descifrado externo para inspección de TLS
Llamada Flujo de trabajo
1 El SNI de saludo del cliente TLS coincide con el perfil de contexto de directiva de inspección de TLS configurado para el dominio interno.
2 NSX intercepta la sesión TLS del cliente e inicia una nueva sesión en el servidor deseado.
3 NSX aplica la versión o el cifrado de TLS (configurable).
4 El servidor responde con el certificado como parte del protocolo de enlace TLS (validación opcional).
5 NSX presenta al cliente el certificado del servidor, que se cargó como parte de la configuración.

Directivas de inspección de TLS

Una directiva de inspección de TLS se aplica al firewall o a los firewalls de puerta de enlace de nivel 1 seleccionados. La primera vez que agregue una directiva de inspección de TLS, puede utilizar el asistente o puede configurar manualmente la directiva y las reglas asociadas. En este tema se describen los conceptos y la creación de directivas de inspección de TLS.

La inspección de TLS de NSX proporciona las tres siguientes categorías para facilitar la administración de directivas. De forma similar a las categorías de firewall de puerta de enlace, puede utilizar cualquiera de las categorías en función de los requisitos para definir directivas de inspección de TLS.
  • Reglas previas: define la directiva para varias puertas de enlace.
  • Puerta de enlace local: define directivas específicas.
  • Predeterminado (reglas posteriores): esta categoría predeterminada de TLS es diferente a las reglas de la directiva de puerta de enlace, ya que no contiene ninguna regla inmediata ni ningún valor predeterminado de directiva. También permite definir reglas de publicación en la categoría Predeterminado (que no está disponible en la tabla de firewall de puerta de enlace). Por ejemplo, el caso práctico podría ser agregar algunas directivas comunes a varias puertas de enlace después de la configuración de la puerta de enlace local.

Crear una directiva de inspección de TLS

Para simplificar la configuración de la primera directiva de inspección de TLS, puede utilizar el asistente de inspección de TLS o crear manualmente la directiva mediante la interfaz de usuario. En este tema no se describe la configuración del asistente, solo los pasos de configuración manual.

El asistente proporciona un recorrido por el flujo de trabajo de configuración de Inspección de TLS para los firewalls de puerta de enlace de nivel 1. El asistente se muestra en la página de inicio de Inspección de TLS solo para la primera directiva, pero puede acceder al asistente en las pestañas Todas las reglas compartidas y Reglas específicas de la puerta de enlace. Puede omitir el asistente de configuración y completar manualmente la configuración del perfil de acción de descifrado y la creación de directivas haciendo clic en Omitir en la página de apertura.

Requisitos previos

Estos requisitos previos son válidos para las directivas de inspección de TLS.

Active la siguiente configuración. De forma predeterminada, están desactivadas.
  • Activar la configuración de inspección de TLS por puerta de enlace.

    Desplácese hasta Seguridad > Inspección TLS y seleccione la pestaña Configuración. Seleccione una o varias puertas de enlace de la lista de puertas de enlace habilitadas para TLS y haga clic en Activar.

  • Activando la base de datos de URL en el clúster de Edge.

    Desplácese hasta Seguridad > Configuración general > Base de datos de URL. Los nodos de Edge deben tener conectividad a Internet para que NSX Threat Intelligence Cloud Service (NTICS) pueda completar las descargas de la base de datos de URL.

  • Para ver las estadísticas de inspección de TLS mediante el panel de control Seguridad, implemente NSX Application Platform en su entorno de NSX-T Data Center 3.2 o versiones posteriores y asegúrese de que esté en buen estado. Se requiere una licencia específica para la supervisión de series temporales. Para obtener más información, consulte la guía Implementar y administrar NSX Application Platform y Supervisar estadísticas de seguridad.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Inspección TLS.
  3. Seleccione la categoría para definir la directiva y, a continuación, haga clic en Agregar directiva.
  4. Introduzca un nombre para la nueva directiva.
  5. (Opcional) Si desea evitar que varios usuarios realicen cambios en la sección, haga clic en el icono Configuración avanzada y, a continuación, haga clic en Bloqueado y Aplicar.
  6. Seleccione la directiva que creó y haga clic en Agregar regla.
    Variable Descripción
    Servicios de Origen, Destino y Capa 4 Coincide con los mismos campos del tráfico entrante que la regla de firewall de puerta de enlace.
    Perfil de contexto Defina y seleccione el perfil de contexto para clasificar el tráfico en función de la categoría de URL, la reputación y el nombre de dominio. Para obtener más información, consulte Perfiles de contexto.
    Perfil de acción de descripción Defina y seleccione el perfil de descifrado para el tráfico coincidente. Pueden ser perfiles externos, internos y de omisión. Para obtener más información, consulte Crear perfiles de acción de descifrado TLS.
    Se aplica a Seleccione una o varias puertas de enlace de nivel 1.
  7. Haga clic en Publicar.
    Ha completado la creación de la directiva.

Crear perfiles de acción de descifrado TLS

Puede crear tres tipos de perfiles de acción de descifrado en Inspección TLS. En este tema se describen los perfiles y cómo utilizarlos.

Los perfiles de acción de descifrado son:
  • Perfiles de descifrado de omisión: este perfil se utiliza para omitir el descifrado del tráfico destinado a categorías específicas de sitios web, por motivos de conformidad y privacidad. Por ejemplo, sitios web de servicios de salud y financieros. No se puede cambiar el perfil de omisión.
  • Perfiles de descifrado externo: estos perfiles son para conexiones TLS destinadas a un servicio que no es propiedad de la empresa. Por ejemplo, http://merriam-webster.com. En general, los sitios web de Internet.
  • Perfiles de descifrado interno: estos perfiles son para conexiones TLS destinadas a un servicio que pertenece a la propia empresa. Por ejemplo, http://www.corp.internal.com.
Para conocer los pasos sobre cómo crear perfiles de acción de descifrado TLS, consulte los siguientes temas:
  • Crear un perfil de descifrado externo
  • Crear un perfil de acción de descifrado interno
  • Crear un perfil de acción de descifrado para omitir

Crear un perfil de descifrado externo

En este tema se indican los pasos para configurar manualmente un perfil de acción de descifrado externo.

Requisitos previos

  • Debe tener la función de usuario y los permisos correctos para configurar la inspección de TLS.
  • Debe tener un certificado de una CA de confianza o no de confianza importado o listo para importarlo, o tener la información relacionada para generar un certificado.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Desplácese hasta Seguridad > Inspección TLS > Perfiles.
  3. Haga clic en Agregar perfil de acción de descifrado > Descifrado externo.
  4. Introduzca un nombre para el nuevo perfil.
  5. (Opcional) Seleccione un ajuste de perfil: Equilibrado (predeterminado), Alta fidelidad, Alta seguridad, o utilice Personalizado para cambiar la sububicación.
    Ajustes del perfil Descripción
    Certificados no válidos: Permitir o Bloquear y registrar Establezca reglas para permitir o bloquear el tráfico cuando el servidor presente un certificado no válido. Si se selecciona Permitir y el servidor presenta un certificado caducado o que no es de confianza, esta opción permite que la conexión continúe enviando un certificado de proxy que no es de confianza al cliente.
    Error de descifrado: Omitir y registrar o Bloquear y registrar Establece qué hacer cuando se produce un error de descifrado que podría deberse a mTLS (TLS mutuo) o a la fijación de certificados en uso. Si selecciona Omitir y registrar, NSX almacenará en caché este dominio y se omitirán todas las conexiones posteriores al dominio.
    Aplicación de cifrado: Transparente o Aplicación Establece las versiones mínima y máxima de TLS y los conjuntos de claves de cifrado para el cliente y el servidor. Puede omitir esta opción mediante la opción Transparente
  6. (Opcional) Modificar el tiempo de espera de conexión inactiva. Es el tiempo en segundos que el servidor puede permanecer inactivo después de establecer una conexión TCP. El valor predeterminado es 5400 segundos. Mantenga este tiempo de espera por debajo de la configuración de tiempo de espera de inactividad del firewall de puerta de enlace.
  7. (Opcional) Seleccione la opción CA de confianza para seleccionar Paquete de CA de confianza, CRL y la opción Grapado de OCSP.
    Opción Descripción
    Paquete de CA de confianza Valida el certificado que el servicio externo presenta a NSX. Puede utilizar el paquete de CA de confianza predeterminado o importar un nuevo paquete de CA y, a continuación, elegir varios paquetes por perfil si es necesario. Este paquete no se actualiza automáticamente, por lo que debe actualizarlo según sea necesario. Para obtener más información, consulte Importar o actualizar un paquete de CA de confianza en Administración de certificados.
    CRL NSX también incluye una CRL (lista de revocación de certificados) para validar el certificado presentado por el servidor. Puede utilizar la CRL predeterminada o importar una nueva CRL y, a continuación, elegir varias CRL por perfil si es necesario. Esta CRL no se actualiza automáticamente, por lo que debe actualizarla según sea necesario. Para obtener más información, consulte Importar y recuperar CRL en Administración de certificados.
    Requiere grapado de OCSP Para aplicar el grapado de OSCP para el certificado de servidor presentado. En el escalonamiento de OCSP, el servidor que posee el certificado consulta al respondedor OCSP e incluye la respuesta con marca de tiempo y firma de OCSP recibida como extensión CertificateStatusRequest junto con su certificado. Si el servidor tiene un certificado encadenado, el servidor también debe realizar el grapado de OCSP para todos los certificados de CA intermedios.
  8. Para importar o generar una CA de proxy de confianza o que no sea de confianza, seleccione el menú desplegable CA de proxy, seleccione la pestaña CA de proxy de confianza o CA de proxy no de confianza y, a continuación, realice una de las siguientes acciones:
    • Seleccione Importar > Certificado de CA.
    • Seleccione Generar > Certificado de CA autofirmado.

      Introduzca los detalles requeridos y haga clic en Guardar. Para obtener más información sobre la importación de CA de proxy, consulte Importar y reemplazar certificados.

  9. Para guardar el perfil, que se puede utilizar para las directivas de inspección de TLS, seleccione Guardar.

Resultados

Ahora puede utilizar el perfil de acción de descifrado para configurar reglas de descifrado externas en las puertas de enlace de nivel 1.

Qué hacer a continuación

Cree reglas y directivas de descifrado externo de inspección TLS.

Crear un perfil de acción de descifrado interno

En este tema se indican los pasos para configurar manualmente un perfil de acción de descifrado interno.

Requisitos previos

  • Debe tener la función de usuario y los permisos correctos para configurar la inspección de TLS.
  • Debe tener un certificado de servidor interno importado o listo para importarlo, o tener la información relacionada para generar el certificado.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Seleccione Seguridad > Inspección TLS > Perfiles.
  3. Haga clic en Agregar perfil de acción de descifrado > Descifrado interno.
  4. Introduzca un nombre para la nueva directiva.
  5. (Opcional) Seleccione un ajuste de perfil: Equilibrado (predeterminado), Alta fidelidad, Alta seguridad, o utilice Personalizado para cambiar la sububicación.
    Ajustes del perfil Descripción
    Error de descifrado: Omitir y registrar o Bloquear y registrar Establece qué hacer cuando se produce un error de descifrado que podría deberse a mTLS (TLS mutuo) o a la fijación de certificados en uso. Si selecciona Omitir y registrar, NSX almacenará en caché este dominio y se omitirán todas las conexiones posteriores al dominio.
    Aplicación de cifrado: Transparente o Aplicación Establece las versiones mínima y máxima de TLS y los conjuntos de claves de cifrado para el cliente y el servidor. Puede omitir esta opción mediante la opción Transparente.
  6. (Opcional) Modificar el tiempo de espera de conexión inactiva. Es el tiempo en segundos que el servidor puede permanecer inactivo después de establecer una conexión TCP. El valor predeterminado es 5400 segundos. Mantenga este tiempo de espera por debajo de la configuración de tiempo de espera de inactividad del firewall de puerta de enlace.
  7. Expanda la sección Claves y certificados de servidor y configure uno o varios certificados de servidor internos.
    1. Importar un certificado o un certificado de CA. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
    2. Genere un certificado autofirmado o un certificado de CA autofirmado.
    3. Para seleccionar un certificado de servidor existente, haga clic en la casilla de verificación situada en la parte frontal de la fila.
    4. Haga que un certificado de servidor existente sea el predeterminado haciendo clic en el botón de opción Predeterminado al final de la fila.

    Si la extensión SNI no está presente en el saludo del cliente, el certificado del servidor predeterminado se presentará al cliente. Si esta opción no está configurada, el proxy TLS no interceptará las conexiones que no contengan ninguna extensión SNI en el saludo del cliente. Si la extensión SNI está presente en el saludo del cliente, pero no hay ningún certificado coincidente para ese en la lista de certificados configurados, el proxy TLS no interceptará estas conexiones.

    Cuando un cliente accede a uno de esos servicios internos, el proxy TLS presentará este certificado seleccionado en función de la coincidencia del dominio del servidor con el campo Emitido por campo (CN).

    Si se configura más de un certificado de servidor, todos deben tener dominios diferentes, especificados por nombre común (CN) o Nombre alternativo del sujeto (SAN). No se pueden configurar dos certificados para el mismo dominio, ya sea un FQDN (por ejemplo, www.vmware.com) o un comodín (*.vmware.com). Sin embargo, se permiten certificados con dominios comodín que se superpongan con certificados FQDN específicos. En estos casos, se prefiere un certificado más específico que un certificado comodín al mismo tiempo que se selecciona un certificado para presentarlo al cliente en función de la extensión SNI en el saludo del cliente.

  8. (Opcional) De forma predeterminada, la validación del certificado del servidor es opcional y está deshabilitada de forma predeterminada. No es necesario configurarlo si es un servicio que pertenece a la empresa. Si desea aplicar esta validación, active el botón Validación del certificado del servidor poniéndolo en la posición Activado.
    1. Expanda la sección y configure las opciones de validación. Puede elegir la CRL y el paquete de CA de confianza predeterminados o importarlos.
    2. Haga clic en Guardar.

Resultados

Ahora puede utilizar el perfil de acción de descifrado interno para configurar las directivas y las reglas de inspección de TLS en las puertas de enlace de nivel 1.

Qué hacer a continuación

Cree reglas y directivas de descifrado interno de inspección de TLS.

Crear un perfil de acción de descifrado para omitir

En este tema se proporciona información sobre el perfil de acción de descifrado para omitir.

Requisitos previos

Es posible que las directivas de privacidad de su gobierno local y su empresa descifran cierto contenido. Por ejemplo, cuando el cliente accede a un sitio web financiero o al sitio web de un proveedor de servicios de salud, es posible que haya leyes que impidan la intercepción y descifrado de dicho tráfico.

Para facilitar la configuración, NSX incluye un perfil de contexto predefinido, default-bypass-highfidelity-profile, para cumplir con dichos requisitos. NSX usa perfiles de contexto para que coincidan con las URL de dominio que se omitirán del descifrado. El perfil predeterminado incluye las categorías de URL: salud y finanzas.

En esta versión, no se pueden crear perfiles de acciones de descifrado para omitir ni modificar el perfil predeterminado. El perfil predeterminado tiene los siguientes ajustes de perfil:
Ajustes del perfil Descripción
Certificados no válidos: Permitir Establezca el valor Permitir si el servidor presenta un certificado caducado o que no es de confianza. Esta opción permite que la conexión continúe.
Aplicación de cifrado: Transparente Si establece el valor Transparente, no se aplicará la versión de TLS ni el cifrado si la URL coincide con la regla del perfil de descifrado de omisión.

Administración de certificados de inspección de TLS

Se requiere un certificado de seguridad para la inspección de TLS en NSX-T Data Center. Para interceptar, descifrar y cifrar el tráfico de Inspección TLS y otras aplicaciones de seguridad avanzadas, debe preparar el proxy TLS para que pueda actuar como proxy transparente para las conexiones TLS. NSX Manager exige estos certificados para establecer la confianza entre las aplicaciones.

La administración de certificados admite las siguientes opciones para la inspección de TLS.
  • Importe un certificado existente o genere una nueva CSR (solicitud de firma del certificado) autofirmada o autofirmado por CA.
  • Exporte un certificado existente.
  • Importe o actualice un paquete de CA de confianza predeterminado.
  • Importe o actualice una lista de revocación de certificados públicos (CRL) predeterminada.
  • Filtrado avanzado en todas las opciones de filtro predefinidas.
  • Banner de certificado caducado en la página Certificados.
  • Notificación codificada por colores de certificados válidos o no válidos.

Para obtener más información sobre estas opciones, consulte Certificados.

El proxy TLS requiere un certificado de CA, también denominado CA de proxy. NSX Manager utiliza la CA de proxy para generar certificados que suplantan a los endpoints en la conexión interceptada. En otras palabras, ayuda a suplantar certificados para el tráfico interceptado en los servidores de sitios web. Puede elegir uno de los dos tipos de certificados de CA de proxy:

Para generar certificados que suplantan a los endpoints en la conexión interceptada, el proxy TLS requiere un certificado de CA, también denominado CA de proxy. NSX Manager utiliza la CA proxy. En otras palabras, ayuda a suplantar . Puede elegir uno de los dos tipos de certificados de CA de proxy:
  • Los certificados autofirmados se suelen utilizar para pruebas o implementaciones limitadas que no son de confianza. Este flujo de trabajo comienza con una solicitud a NSX Manager para generar un par de claves de certificado de CA con una CSR (solicitud de firma del certificado). A continuación, realiza una solicitud a NSX manager para firmar automáticamente la CSR.
  • Una CA empresarial firma certificados de CA subordinados de confianza. Este flujo de trabajo comienza con una solicitud a NSX Manager para generar un par de claves de certificado de CA con una CSR, descargar la CSR y, a continuación, enviarla a la CA emisora, lo que da como resultado la recepción de un certificado firmado. A continuación, carga el certificado de CA público firmado en NSX Manager. La carga puede incluir una cadena de certificados. Las cadenas de certificados son certificados de firma intermedios entre el nuevo certificado y el certificado de CA root.

Existen varias formas de cargar un nuevo certificado de CA en NSX manager: utilizar el asistente TLS en la interfaz de usuario, agregar manualmente el certificado en la interfaz de usuario o utilizar NSX API. Para obtener más información, consulte Importar un certificado de CA.

Paquetes de CA de confianza

Después de la configuración, estos certificados de CA se distribuyen a los nodos que ejecutan el proxy TLS. Puede cargar varios paquetes de certificados de CA con nombres diferentes. Cada paquete de CA utilizado por el proxy TLS se configura en el perfil de acción de descifrado. Tras la carga, el paquete de CA se valida como una concatenación bien formada de certificados con codificación PEM y no se almacena si no es válido. Si un paquete no es válido, devuelve mensajes de error de API.

Un solo paquete se limita a 1 MB de tamaño y 1000 certificados.

Lista de revocación de certificados

Para asegurarse de que los certificados ofrecidos por los endpoints de la conexión interceptada no se revoquen, puede utilizar la CRL del proxy TLS, default_public_crl. Puede actualizar este objeto cargando una nueva CRL para reemplazar la existente. Puede utilizarla en los perfiles de directivas. Para cargar una nueva CRL en NSX Manager, utilice la interfaz de usuario o la API. La CRL se distribuye a los nodos que ejecutan el proxy TLS. La API valida la CRL tras la carga y rechaza su almacenamiento si no es válida. NSX admite dos formatos de CRL:
  • CRL X.509 con codificación PEM: tamaño máximo de 40 MB, 500.000 entradas
  • Mozilla OneCRL: tamaño máximo de 5 MB, 10.000 entradas

Control de alarmas para certificados de inspección de TLS

Si no mantiene los certificados de CA de proxy y están a punto de caducar o ya caducaron, o bien recibió un certificado de CA caducado, NSX Manager utiliza alarmas para notificarle.

NSX activa el mismo conjunto de alarmas para certificados caducados o a punto de caducar en paquetes de CA.

También puede recibir un error del servidor de registro remoto debido a un certificado TLS no válido. El error de evento registrado es Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.. Para comprobar que el certificado especificado es válido, utilice el comando openssl openssl x509 -in <cert-file-path> -noout -dates. También puede ver y actualizar certificados en la interfaz de usuario de inspección de TLS.

Para obtener más información sobre la caducidad de certificados, consulte Notificación de alarma para la caducidad del certificado. Para obtener más información sobre los "Eventos de certificado" específicos de TLS del NSX Manager, consulte Catálogo de eventos.