Administración de certificados de Inspección TLS

Se requiere un certificado de seguridad para Inspección TLS en NSX. Para interceptar, descifrar y cifrar el tráfico de Inspección TLS y otras aplicaciones de seguridad avanzadas, debe preparar el proxy TLS para que pueda actuar como proxy transparente para las conexiones TLS. NSX Manager exige estos certificados para establecer la confianza entre las aplicaciones.

La administración de certificados admite las siguientes opciones para Inspección TLS.

Importe un certificado existente o genere una nueva CSR (solicitud de firma del certificado) autofirmada o autofirmado por CA.
Exporte un certificado existente.
Importe o actualice un paquete de CA de confianza predeterminado.
Importe o actualice una lista de revocación de certificados públicos (CRL) predeterminada.
Filtrado avanzado en todas las opciones de filtro predefinidas.
Banner de certificado caducado en la página Certificados.
Notificación codificada por colores de certificados válidos o no válidos.

Para obtener más información sobre estas opciones, consulte Certificados.

El proxy TLS requiere un certificado de CA, también denominado CA de proxy. NSX Manager utiliza la CA de proxy para generar certificados que suplantan a los endpoints en la conexión interceptada. En otras palabras, ayuda a suplantar certificados para el tráfico interceptado en los servidores de sitios web. Puede elegir uno de los dos tipos de certificados de CA de proxy:

Para generar certificados que suplantan a los endpoints en la conexión interceptada, el proxy TLS requiere un certificado de CA, también denominado CA de proxy. NSX Manager utiliza la CA proxy. En otras palabras, ayuda a suplantar. Puede elegir uno de los dos tipos de certificados de CA de proxy:

Los certificados autofirmados se suelen utilizar para pruebas o implementaciones limitadas que no son de confianza. Este flujo de trabajo comienza con una solicitud a NSX Manager para generar un par de claves de certificado de CA con una CSR (solicitud de firma del certificado). A continuación, realiza una solicitud a NSX Manager para firmar automáticamente la CSR.
Una CA empresarial firma certificados de CA subordinados de confianza. Este flujo de trabajo comienza con una solicitud a NSX Manager para generar un par de claves de certificado de CA con una CSR, descargar la CSR y, a continuación, enviarla a la CA emisora, lo que da como resultado la recepción de un certificado firmado. A continuación, carga el certificado de CA público firmado en NSX Manager. La carga puede incluir una cadena de certificados. Las cadenas de certificados son certificados de firma intermedios entre el nuevo certificado y el certificado de CA root.

Existen varias formas de cargar un nuevo certificado de CA en NSX Manager: utilizar el asistente TLS en la interfaz de usuario, agregar manualmente el certificado en la interfaz de usuario o utilizar NSX API. Para obtener más información, consulte Importar un certificado de CA.

Paquetes de CA de confianza

Después de la configuración, estos certificados de CA se distribuyen a los nodos que ejecutan el proxy TLS. Puede cargar varios paquetes de certificados de CA con nombres diferentes. Cada paquete de CA utilizado por el proxy TLS se configura en el perfil de acción de descifrado. Tras la carga, el paquete de CA se valida como una concatenación bien formada de certificados con codificación PEM y no se almacena si no es válido. Si un paquete no es válido, devuelve mensajes de error de API.

Un solo paquete se limita a 1 MB de tamaño y 1000 certificados.

Lista de revocación de certificados

Para asegurarse de que los certificados ofrecidos por los endpoints de la conexión interceptada no se revoquen, puede utilizar la CRL del proxy TLS, default_public_crl. Puede actualizar este objeto cargando una nueva CRL para reemplazar la existente. Puede utilizarla en los perfiles de directivas. Para cargar una nueva CRL en NSX Manager, utilice la interfaz de usuario o la API. La CRL se distribuye a los nodos que ejecutan el proxy TLS. La API valida la CRL tras la carga y rechaza su almacenamiento si no es válida. NSX admite dos formatos de CRL:

CRL X.509 con codificación PEM: tamaño máximo de 40 MB, 500.000 entradas
Mozilla OneCRL: tamaño máximo de 5 MB, 10.000 entradas

Control de alarmas para certificados de Inspección TLS

Si no mantiene los certificados de CA de proxy y están a punto de caducar o ya caducaron, o bien recibió un certificado de CA caducado, NSX Manager utiliza alarmas para notificarle.

NSX activa el mismo conjunto de alarmas para certificados caducados o a punto de caducar en paquetes de CA.

También puede recibir un error del servidor de registro remoto debido a un certificado TLS no válido. El error de evento registrado es Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.. Para comprobar que el certificado especificado es válido, utilice el comando openssl openssl x509 -in <cert-file-path> -noout -dates. También puede ver y actualizar certificados en la interfaz de usuario de Inspección TLS.

Para obtener más información sobre la caducidad de certificados, consulte Notificación de alarma para la caducidad del certificado. Para obtener más información sobre los "Eventos de certificado" específicos de TLS de NSX Manager, consulte el Catálogo de eventos.