Con los servidores virtuales de capa 7, puede configurar de forma opcional persistencia de equilibrador de carga, SSL del lado cliente y perfiles SSL del lado servidor.
Nota: El perfil de SSL no se admite en la versión
NSX Limited Export.
Si se configura un enlace de perfil SSL del lado cliente en un servidor virtual, pero no un enlace de perfil SSL del lado servidor, el servidor virtual funciona en un modo de finalización de SSL, que tiene una conexión cifrada con el cliente y una conexión de texto sin formato con el servidor. Si se configuran enlaces de perfil SSL del lado cliente y el lado servidor, el servidor virtual funciona en modo de servidor proxy SSL, que tiene una conexión cifrada con el cliente y el servidor.
Actualmente no se permite asociar un enlace de perfil SSL del lado servidor sin asociar un enlace de perfil SSL del lado cliente. Si un enlace de perfil SSL del lado cliente y del lado servidor no está asociado a un servidor virtual y la aplicación está basada en SSL, el servidor virtual funciona en un modo que no es compatible con SSL. En este caso, el servidor virtual debe configurarse para la capa 4. Por ejemplo, el servidor virtual puede asociarse a un perfil FAST TCP.
Procedimiento
- Abra el servidor virtual de capa 7.
- Desplácese hasta la página Perfiles de equilibrio de carga.
- Active el botón Persistencia para habilitar el perfil.
El perfil de persistencia permite que las conexiones del cliente relacionadas se envíen al mismo servidor.
- Seleccione el perfil de persistencia de IP de origen o de persistencia de cookies.
- Seleccione el perfil de persistencia existente en el menú desplegable.
- Haga clic en Siguiente.
- Active el botón SSL del lado cliente para habilitar el perfil.
El enlace de perfil SSL del lado cliente permite que haya varios certificados, de modo que los nombres de host se asocien con el mismo servidor virtual.
El perfil SSL del lado cliente asociado se rellenará automáticamente.
- Seleccione un certificado predeterminado en el menú desplegable.
Este certificado se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI).
- Seleccione el certificado de SNI disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
- (opcional) Active la autenticación obligatoria de cliente para habilitar ese elemento de menú.
- Seleccione el certificado de CA disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
- Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
- Seleccione la CRL disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
Se puede configurar una CRL para no permitir certificados de servidor comprometidos.
- Haga clic en Siguiente.
- Active el botón SSL del lado servidor para habilitar el perfil.
El perfil SSL del lado servidor asociado se rellenará automáticamente.
- Seleccione un certificado de cliente en el menú desplegable.
El certificado de cliente se usa si el servidor no aloja varios nombres de host en la misma dirección IP o si el cliente no admite la extensión de Indicación de nombre de servidor (Server Name Indication, SNI).
- Seleccione el certificado de SNI disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
- (opcional) Active la autenticación de servidor para habilitar ese elemento de menú.
El enlace de perfil SSL del lado servidor especifica si se debe validar o no el certificado de servidor presentado al equilibrador de carga durante el protocolo de enlace SSL. Cuando se habilita la validación, el certificado de servidor debe estar firmado por una de las CA de confianza cuyos certificados autofirmados se especifican en el mismo enlace de perfil SSL del lado servidor.
- Seleccione el certificado de CA disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
- Establezca la profundidad de la cadena de certificados para comprobar la profundidad de la cadena de certificados de servidor.
- Seleccione la CRL disponible y haga clic en la flecha para mover el certificado a la sección Seleccionados.
Se puede configurar una CRL para no permitir certificados de servidor comprometidos. OCSP y la asociación de OCSP no se admiten en el lado servidor.
- Haga clic en Finalizar.