En este tema se indican los pasos para configurar manualmente un perfil de acción de descifrado externo.

Requisitos previos

  • Debe tener la función de usuario y los permisos correctos para configurar la inspección de TLS.
  • Debe tener un certificado de una CA de confianza o no de confianza importado o listo para importarlo, o tener la información relacionada para generar un certificado.

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Desplácese hasta Seguridad > Inspección TLS > Perfiles.
  3. Haga clic en Agregar perfil de acción de descifrado > Descifrado externo.
  4. Introduzca un nombre para el nuevo perfil.
  5. (Opcional) Seleccione un ajuste de perfil: Equilibrado (predeterminado), Alta fidelidad, Alta seguridad, o utilice Personalizado para cambiar la sububicación.
    Ajustes del perfil Descripción
    Certificados no válidos: Permitir o Bloquear y registrar Establezca reglas para permitir o bloquear el tráfico cuando el servidor presente un certificado no válido. Si se selecciona Permitir y el servidor presenta un certificado caducado o que no es de confianza, esta opción permite que la conexión continúe enviando un certificado de proxy que no es de confianza al cliente.
    Error de descifrado: Omitir y registrar o Bloquear y registrar Establece qué hacer cuando se produce un error de descifrado que podría deberse a mTLS (TLS mutuo) o a la fijación de certificados en uso. Si selecciona Omitir y registrar, NSX almacenará en caché este dominio y se omitirán todas las conexiones posteriores al dominio.
    Aplicación de cifrado: Transparente o Aplicación Establece las versiones mínima y máxima de TLS y los conjuntos de claves de cifrado para el cliente y el servidor. Puede omitir esta opción mediante la opción Transparente
  6. (Opcional) Modificar el tiempo de espera de conexión inactiva. Es el tiempo en segundos que el servidor puede permanecer inactivo después de establecer una conexión TCP. El valor predeterminado es 5400 segundos. Mantenga este tiempo de espera por debajo de la configuración de tiempo de espera de inactividad del firewall de puerta de enlace.
  7. (Opcional) Seleccione la opción CA de confianza para seleccionar Paquete de CA de confianza, CRL y la opción Grapado de OCSP.
    Opción Descripción
    Paquete de CA de confianza Valida el certificado que el servicio externo presenta a NSX. Puede utilizar el paquete de CA de confianza predeterminado o importar un nuevo paquete de CA y, a continuación, elegir varios paquetes por perfil si es necesario. Este paquete no se actualiza automáticamente, por lo que debe actualizarlo según sea necesario. Para obtener más información, consulte Importar o actualizar un paquete de CA de confianza en Administración de certificados.
    CRL NSX también incluye una CRL (lista de revocación de certificados) para validar el certificado presentado por el servidor. Puede utilizar la CRL predeterminada o importar una nueva CRL y, a continuación, elegir varias CRL por perfil si es necesario. Esta CRL no se actualiza automáticamente, por lo que debe actualizarla según sea necesario. Para obtener más información, consulte Importar y recuperar CRL en Administración de certificados.
    Requiere grapado de OCSP Para aplicar el grapado de OSCP para el certificado de servidor presentado. En el escalonamiento de OCSP, el servidor que posee el certificado consulta al respondedor OCSP e incluye la respuesta con marca de tiempo y firma de OCSP recibida como extensión CertificateStatusRequest junto con su certificado. Si el servidor tiene un certificado encadenado, el servidor también debe realizar el grapado de OCSP para todos los certificados de CA intermedios.
  8. Para importar o generar una CA de proxy de confianza o que no sea de confianza, seleccione el menú desplegable CA de proxy, seleccione la pestaña CA de proxy de confianza o CA de proxy no de confianza y, a continuación, realice una de las siguientes acciones:
    • Seleccione Importar > Certificado de CA.
    • Seleccione Generar > Certificado de CA autofirmado.

      Introduzca los detalles requeridos y haga clic en Guardar. Para obtener más información sobre la importación de CA de proxy, consulte Importar y reemplazar certificados.

  9. Para guardar el perfil, que se puede utilizar para las directivas de inspección de TLS, seleccione Guardar.

Resultados

Ahora puede utilizar el perfil de acción de descifrado para configurar reglas de descifrado externas en las puertas de enlace de nivel 1.

Qué hacer a continuación

Cree reglas y directivas de descifrado externo de inspección TLS.