Créer un profil d'application HTTPS

Vous pouvez créer un profil d'application HTTPS pour trois types de trafic HTTPS : relais SSL, déchargement HTTPS et HTTPS de bout en bout. Le workflow pour créer le profil d'application varie pour chaque type de trafic HTTPS.

Note :

À partir de NSX 6.4.5, le menu déroulant Type de profil d'application (Application Profile Type) contient des options distinctes pour créer un profil pour chacun des trois types de trafic HTTPS.
Dans NSX 6.4.4 et versions antérieures, le menu déroulant Type contient une seule option HTTPS. Pour créer un profil pour chacun des trois types de trafic HTTPS, vous devez spécifier des paramètres de profil appropriés.
L'équilibreur de charge NSX ne prend pas en charge le relais SSL Proxy.

À partir de NSX 6.4.5, la terminologie d'interface utilisateur pour quelques paramètres de profil HTTPS a été modifiée. Le tableau suivant contient la liste des modifications.

NSX 6.4.4 et versions antérieures	NSX 6.4.5 et versions ultérieures
Certificats du serveur virtuel	SSL client
Certificats du pool	SSL serveur

Le tableau suivant décrit les trois types de trafic HTTPS.

Tableau 1. Types de trafic HTTPS
Type de trafic HTTPS	Description
Relais SSL	Les règles d'application liées aux attributs de SSL sont autorisées sans nécessiter l'arrêt SSL sur l'équilibreur de charge. Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (relais SSL) -> HTTPS -> Serveur.
Déchargement HTTPS	L'équilibrage de charge basé sur HTTP se produit. SSL se termine sur l'équilibrage de charge et HTTP est utilisé entre l'équilibrage de charge et le pool de serveurs. Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (SSL de fin) -> HTTP -> Serveur.
HTTPS de bout en bout	L'équilibrage de charge basé sur HTTP se produit. SSL se termine sur l'équilibrage de charge et HTTPS est utilisé entre l'équilibrage de charge et le pool de serveurs. Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (SSL de fin) -> HTTPS -> Serveur.

Le tableau suivant décrit la persistance prise en charge dans les types de trafic HTTPS.

Tableau 2. Types de persistance pris en charge
Persistance	Description
IP source	Ce type de persistance suit les sessions en fonction de l'adresse IP source. Lorsqu'un client demande une connexion à un serveur virtuel qui prend en charge une persistance d'adresse IP source, l'équilibrage de charge vérifie si ce client a été précédemment connecté. Si c'est le cas, l'équilibrage de charge renvoie le client vers le même membre de pool.
ID de session SSL	Ce type de persistance est disponible lorsque vous créez un profil pour le type de trafic de relais SSL. La persistance ID de session SSL garantit que les connexions de répétition à partir du même client sont envoyées au même serveur. La persistance ID de session permet l'utilisation de la reprise de session SSL, ce qui réduit le temps de traitement pour le client et le serveur.
Cookie	Ce type de persistance insère un cookie unique afin d'identifier une session la première fois qu'un client accède au site. Le cookie est appelé dans les demandes suivantes pour prolonger la connexion au serveur approprié.

Pour les types de persistance IP source (Source IP) et ID de session SSL (SSL Session ID), vous pouvez entrer le délai d'expiration de persistance en secondes. La valeur par défaut de la persistance est de 300 secondes (cinq minutes).

Mémoriser : La taille du tableau de persistance est limitée. Si le trafic est intense, une valeur de délai d'expiration élevée peut entraîner le remplissage rapide du tableau de persistance. Lorsque le tableau de persistance se remplit, l'entrée la plus ancienne est supprimée pour accepter l'entrée la plus récente.

Le tableau de persistance d'équilibrage de charge conserve les entrées pour enregistrer que les demandes des clients sont dirigées vers le même membre de pool.

Si aucune nouvelle demande de connexion n'est reçue de la part du même client pendant le délai d'expiration, l'entrée de persistance expire et est supprimée.
Si une nouvelle demande de connexion est reçue de la part du même client pendant le délai d'expiration, le temporisateur est réinitialisé et la demande du client est envoyée à un membre du pool rémanent.
Lorsque le délai est expiré, les nouvelles demandes de connexion sont envoyées à un membre de pool alloué par l'algorithme d'équilibrage de charge.

Pour le scénario de persistance d'adresse IP source TCP d'équilibrage de charge L7, l'entrée de persistance expire si aucune nouvelle connexion TCP n'est établie pendant une période, même si les connexions existantes sont toujours actives.

Le tableau suivant répertorie les suites de chiffrement approuvées qui peuvent être utilisées pour négocier les paramètres de sécurité pendant l'établissement d'une liaison SSL ou TLS.

Tableau 3. Suites de chiffrement approuvées
Valeur de chiffrement	Nom du chiffrement
PAR DÉFAUT	PAR DÉFAUT
ECDHE-RSA-AES128-GCM-SHA256	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES256-GCM-SHA384	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ECDHE-RSA-AES256-SHA	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ECDHE-ECDSA-AES256-SHA	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ECDH-ECDSA-AES256-SHA	TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA
ECDH-RSA-AES256-SHA	TLS_ECDH_RSA_WITH_AES_256_CBC_SHA
AES256-SHA	TLS_RSA_WITH_AES_256_CBC_SHA
AES128-SHA	TLS_RSA_WITH_AES_128_CBC_SHA
DES-CBC3-SHA	TLS_RSA_WITH_3DES_EDE_CBC_SHA
ECDHE-RSA-AES128-SHA	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
ECDHE-RSA-AES128-SHA256	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
ECDHE-RSA-AES256-SHA384	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
AES128-SHA256	TLS_RSA_WITH_AES_128_CBC_SHA256
AES128-GCM-SHA256	TLS_RSA_WITH_AES_128_GCM_SHA256
AES256-SHA256	TLS_RSA_WITH_AES_256_CBC_SHA256
AES256-GCM-SHA384	TLS_RSA_WITH_AES_256_GCM_SHA384

La procédure suivante explique les étapes de création d'un profil d'application pour chacun des trois types de trafic HTTPS.

Procédure

Connectez-vous à vSphere Web Client.
Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).
Double-cliquez sur une instance de NSX Edge.
Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).
Cliquez sur Ajouter (Add).
La fenêtre Nouveau profil d'application s'ouvre.

Spécifiez les paramètres de profil d'application.

Étapes pour le type de trafic Relais SSL (SSL Passthrough).

Version de NSX	Procédure
6.4.5 et versions ultérieures	Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Relais SSL (SSL Passthrough). Entrez le nom du profil. Sélectionnez le type de persistance. Entrez la durée d'expiration de la persistance. Cliquez sur Ajouter (Add).
6.4.4 et versions antérieures	Entrez le nom du profil. Dans le menu déroulant Type, sélectionnez HTTPS. Cochez la case Activer le relais SSL (Enable SSL Passthrough). Sélectionnez le type de persistance. Entrez la durée d'expiration de la persistance. Cliquez sur OK.

Étapes pour le type de trafic Déchargement HTTPS (HTTPS Offloading).

Version de NSX	Procédure
6.4.5 et versions ultérieures	Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading). Entrez le nom du profil. Entrez l'URL vers laquelle vous souhaitez rediriger le trafic HTTP. Sélectionnez le type de persistance. Pour la persistance des cookies, entrez le nom du cookie et sélectionnez le mode d'insertion du cookie. Pour une description de chaque mode de cookie, reportez-vous à la section Créer un profil d'application HTTP. Pour la persistance d'IP source, entrez le délai d'expiration de persistance. Facultatif : pour identifier l'adresse IP d'origine d'un client se connectant à un serveur Web via l'équilibrage de charge, activez l'option Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header). Cliquez sur l'onglet SSL de client (Client SSL). Sélectionnez un ou plusieurs algorithmes de chiffrement ou une suite de chiffrement à utiliser lors de l'établissement de liaison SSL. Vérifiez que la suite de chiffrement approuvée contient une clé DH dont la longueur est supérieure ou égale à 1 024 bits. Spécifiez si l'authentification client doit être ignorée ou requise. Si nécessaire, le client doit fournir un certificat après la demande, sinon l'établissement de liaison est annulé. Sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge. Cliquez sur Ajouter (Add).
6.4.4 et versions antérieures	Entrez le nom du profil. Dans le menu déroulant Type, sélectionnez HTTPS. Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir les paramètres de profil d'application suivants : URL de redirection HTTP Persistance Insérer l'en-tête HTTP X-transféré-pour Cliquez sur l'onglet Certificats du serveur virtuel (Virtual Server Certificates). Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir des algorithmes de chiffrement et l'authentification client. Cliquez sur Configurer les certificats de service (Configure Service Certificates) et sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge. Cliquez sur OK.

Version de NSX

Procédure

6.4.5 et versions ultérieures

Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading).
Entrez le nom du profil.
Entrez l'URL vers laquelle vous souhaitez rediriger le trafic HTTP.
Sélectionnez le type de persistance.
- Pour la persistance des cookies, entrez le nom du cookie et sélectionnez le mode d'insertion du cookie. Pour une description de chaque mode de cookie, reportez-vous à la section Créer un profil d'application HTTP.
- Pour la persistance d'IP source, entrez le délai d'expiration de persistance.
Facultatif : pour identifier l'adresse IP d'origine d'un client se connectant à un serveur Web via l'équilibrage de charge, activez l'option Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header).
Cliquez sur l'onglet SSL de client (Client SSL).
Sélectionnez un ou plusieurs algorithmes de chiffrement ou une suite de chiffrement à utiliser lors de l'établissement de liaison SSL. Vérifiez que la suite de chiffrement approuvée contient une clé DH dont la longueur est supérieure ou égale à 1 024 bits.
Spécifiez si l'authentification client doit être ignorée ou requise. Si nécessaire, le client doit fournir un certificat après la demande, sinon l'établissement de liaison est annulé.
Sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge.
Cliquez sur Ajouter (Add).

6.4.4 et versions antérieures

Entrez le nom du profil.
Dans le menu déroulant Type, sélectionnez HTTPS.
Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir les paramètres de profil d'application suivants :
- URL de redirection HTTP
- Persistance
- Insérer l'en-tête HTTP X-transféré-pour
Cliquez sur l'onglet Certificats du serveur virtuel (Virtual Server Certificates).
Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir des algorithmes de chiffrement et l'authentification client.
Cliquez sur Configurer les certificats de service (Configure Service Certificates) et sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge.
Cliquez sur OK.

Étapes pour le type de trafic HTTPS de bout en bout (HTTPS End-to-End).

Dans ce type de profil d'application, vous spécifiez les paramètres SSL de client (certificats du serveur virtuel) et les paramètres SSL de serveur (SSL du côté du pool).

Les paramètres SSL de serveur sont utilisés pour authentifier l'équilibrage de charge côté serveur. Si l'équilibrage de charge Edge dispose d'un certificat d'autorité de certification et d'une CRL déjà configurée et si l'équilibrage de charge doit vérifier un certificat de service à partir des serveurs principaux, sélectionnez le certificat de service. Vous pouvez également fournir le certificat d'équilibrage de charge au serveur principal si ce dernier doit vérifier le certificat de service d'équilibrage de charge.

Version de NSX	Procédure
6.4.5 et versions ultérieures	Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End). Entrez le nom du profil. Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants : URL de redirection HTTP Persistance Insérer l'en-tête HTTP X-transféré-pour SSL de client : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL Cliquez sur l'onglet SSL de serveur (Server SSL) et sélectionnez les algorithmes de chiffrement, le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur. Cliquez sur Ajouter (Add).
6.4.4 et versions antérieures	Entrez le nom du profil. Dans le menu déroulant Type, sélectionnez HTTPS. Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants : URL de redirection HTTP Persistance Insérer l'en-tête HTTP X-transféré-pour Certificats du serveur virtuel : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL Cochez la case Activer SSL du côté du pool (Enable Pool Side SSL) pour activer la communication HTTPS entre l'équilibrage de charge et les serveurs principaux. Sélectionnez les algorithmes de chiffrement, ainsi que le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur. Cliquez sur OK.

Version de NSX

Procédure

6.4.5 et versions ultérieures

Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End).
Entrez le nom du profil.
Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants :
- URL de redirection HTTP
- Persistance
- Insérer l'en-tête HTTP X-transféré-pour
- SSL de client : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL
Cliquez sur l'onglet SSL de serveur (Server SSL) et sélectionnez les algorithmes de chiffrement, le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur.
Cliquez sur Ajouter (Add).

6.4.4 et versions antérieures

Entrez le nom du profil.
Dans le menu déroulant Type, sélectionnez HTTPS.
Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants :
- URL de redirection HTTP
- Persistance
- Insérer l'en-tête HTTP X-transféré-pour
- Certificats du serveur virtuel : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL
Cochez la case Activer SSL du côté du pool (Enable Pool Side SSL) pour activer la communication HTTPS entre l'équilibrage de charge et les serveurs principaux.
Sélectionnez les algorithmes de chiffrement, ainsi que le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur.
Cliquez sur OK.