Los perfiles SSL configuran las propiedades de SSL independientes de la aplicación, como listas de cifrado, y vuelven a utilizar dichas listas a través de varias aplicaciones. Las propiedades SSL son diferentes cuando el equilibrador de carga actúa como un cliente y como un servidor; como resultado se admiten perfiles SSL separados para cliente y para servidor.

Nota: El perfil de SSL no se admite en la versión NSX Limited Export.

El perfil SSL del lado cliente hace referencia al equilibrador de carga actuando como un servidor SSL y finalizando la conexión SSL de cliente. El perfil SSL del lado servidor hace referencia al equilibrador de carga actuando como un cliente y estableciendo una conexión con el servidor.

Puede especificar una lista de claves de cifrado en los perfiles SSL del lado cliente y del lado servidor. NSX Manager incluye los siguientes perfiles SSL predeterminados:
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile,
  • default-high-security-server-ssl-profile.
El perfil de SSL "balanced" es compatible con una combinación de protocolos y cifrados SSL para ofrecer una combinación perfecta de rendimiento y seguridad a clientes y servidores. El perfil de SSL "high-compatibility" es compatible con una amplia gama de protocolos y cifrados SSL para ofrecer acceso a la más amplia variedad de clientes/servidores. El perfil de SSL "high-security" es compatible con los protocolos y cifrados SSL más protegidos para ofrecer el acceso más seguro a los clientes o servidores. Además, se pueden crear perfiles de SSL personalizados.

Para las versiones NSX 4.1.x, NSX Manager podría comunicarse con un servidor virtual de NSX LB si el servidor virtual se configuró con los certificados default-balanced-client-ssl-profile y ECDSA. NSX Manager no podía comunicarse con un servidor virtual de NSX LB si este se configuró con los certificados default-balanced-client-ssl-profile y RSA, ya que el grupo de cifrado equilibrado no admitía la clave de cifrado TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 requerida. Como resultado, se interrumpió la comunicación entre NSX Manager y la VIP de LB de vIDM con esa configuración desde NSX 4.1.x. A partir de NSX 4.2, la clave de cifrado TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 también se agrega a los perfiles de cliente/servidor equilibrados y de alta compatibilidad para admitir la comunicación entre NSX Manager y un servidor virtual de equilibrador de carga para vIDM. Con esta nueva adición, ya no es necesario crear un perfil personalizado y agregar la clave de cifrado TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 como solución alternativa para admitir la comunicación entre NSX Manager y una VIP de LB de vIDM.

El almacenamiento en caché de la sesión SSL permite que el cliente SSL y el servidor reutilicen los parámetros de seguridad negociados previamente, lo que evita la costosa operación de clave pública durante el protocolo de enlace SSL. El almacenamiento en caché de la sesión SSL está deshabilitado de forma predeterminada en el lado cliente y el lado servidor.

Los vales de sesión SSL son un mecanismo alternativo que permiten al cliente y al servidor SSL reutilizar los parámetros de sesión negociados previamente. En los vales de sesión SSL, el cliente y el servidor negocian si son compatibles con los vales de sesión SSL durante el intercambio de protocolos de enlace. Si ambos son compatibles, el servidor puede enviar al cliente un vale de SSL, que incluye los parámetros de sesión SSL cifrados. El cliente puede utilizar ese vale en las conexiones posteriores para volver a utilizar la sesión. Los vales de sesión SSL se habilitan en el lado cliente y se deshabilitan en el lado servidor.

Figura 1. Descarga de SSL
Un diagrama de la descarga de SSL.
Figura 2. SSL de un extremo a otro
Un diagrama de SSL de extremo a extremo.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Seleccione Redes > Equilibrio de carga > Perfiles > Perfil SSL.
  3. Seleccione un Perfil SSL de cliente e introduzca los detalles del perfil.
    Opción Descripción
    Nombre y descripción Introduzca un nombre y una descripción para el perfil SSL de cliente.
    Conjunto de SSL Seleccione el grupo de claves de cifrado SSL en el menú desplegable; se rellenan las claves de cifrado SSL y los protocolos SSL que se incluirán en el perfil SSL de cliente.

    El grupo de claves de cifrado SSL equilibrado es el valor predeterminado.

    Almacenamiento en caché de la sesión Active el botón de alternancia para permitir que el cliente SSL y el servidor reutilicen los parámetros de seguridad negociados previamente; esto evita la costosa operación de clave pública durante un protocolo de enlace SSL.
    Etiquetas Introduzca etiquetas para facilitar la búsqueda.

    Puede especificar una etiqueta para establecer un ámbito para la etiqueta.

    Claves de cifrado SSL compatibles Según el conjunto SSL asignado, se rellenan aquí las claves de cifrado SSL admitidas. Haga clic en Ver más para ver toda la lista.

    Si seleccionó Personalizado, debe seleccionar las claves de cifrado SSL en el menú desplegable.

    Protocolos SSL compatibles Según el conjunto SSL asignado, se rellenan aquí los protocolos SSL admitidos. Haga clic en Ver más para ver toda la lista.

    Si seleccionó Personalizado, debe seleccionar las claves de cifrado SSL en el menú desplegable.

    Tiempo de espera de la entrada de memoria caché de sesión Introduzca, en segundos, el tiempo de espera de la memoria caché para especificar durante cuánto tiempo se deben mantener y se pueden reutilizar los parámetros de sesión SSL.
    Preferir clave de cifrado de servidor Active el botón para que el servidor pueda seleccionar la primera clave de cifrado compatible de la lista que puede admitir.

    Durante un protocolo de enlace SSL, el cliente envía al servidor una lista ordenada de las claves de cifrado compatibles.

  4. Seleccione un Servidor de perfil SSL e introduzca los detalles del perfil.
    Opción Descripción
    Nombre y descripción Introduzca un nombre y una descripción para el perfil SSL de servidor.
    Conjunto de SSL Seleccione el grupo de claves de cifrado SSL en el menú desplegable; se rellenan las claves de cifrado SSL y los protocolos SSL que se incluirán en el perfil SSL de servidor.

    El grupo de claves de cifrado SSL equilibrado es el valor predeterminado.

    Almacenamiento en caché de la sesión Active el botón de alternancia para permitir que el cliente SSL y el servidor reutilicen los parámetros de seguridad negociados previamente; esto evita la costosa operación de clave pública durante un protocolo de enlace SSL.
    Etiquetas Introduzca etiquetas para facilitar la búsqueda.

    Puede especificar una etiqueta para establecer un ámbito para la etiqueta.

    Claves de cifrado SSL compatibles Según el conjunto SSL asignado, se rellenan aquí las claves de cifrado SSL admitidas. Haga clic en Ver más para ver toda la lista.

    Si seleccionó Personalizado, debe seleccionar las claves de cifrado SSL en el menú desplegable.

    Protocolos SSL compatibles Según el conjunto SSL asignado, se rellenan aquí los protocolos SSL admitidos. Haga clic en Ver más para ver toda la lista.

    Si seleccionó Personalizado, debe seleccionar las claves de cifrado SSL en el menú desplegable.

    Tiempo de espera de la entrada de memoria caché de sesión Introduzca, en segundos, el tiempo de espera de la memoria caché para especificar durante cuánto tiempo se deben mantener y se pueden reutilizar los parámetros de sesión SSL.
    Preferir clave de cifrado de servidor Active el botón para que el servidor pueda seleccionar la primera clave de cifrado compatible de la lista que puede admitir.

    Durante un protocolo de enlace SSL, el cliente envía al servidor una lista ordenada de las claves de cifrado compatibles.