Avec les serveurs virtuels de couche 7, vous pouvez éventuellement configurer la persistance de l'équilibreur de charge, des profils SSL côté client et des profils SSL côté serveur.
Note : Le profil SSL n'est pas pris en charge dans la version Limited Export de
NSX-T Data Center.
Si une liaison de profil SSL côté client est configurée sur un serveur virtuel, mais sans liaison de profil SSL côté serveur, le serveur virtuel fonctionne en mode d'arrêt SSL, ce qui suppose une connexion chiffrée au client et une connexion en texte brut au serveur. Si les liaisons de profils SSL côté client et côté serveur sont configurées, le serveur virtuel fonctionne en mode proxy SSL, ce qui suppose une connexion chiffrée au client et au serveur.
Associer une liaison de profil SSL côté serveur sans associer de liaison de profil SSL côté client n'est actuellement pas pris en charge. Si une liaison de profil SSL côté client et côté serveur n'est pas associée à un serveur virtuel et que l'application est basée sur SSL, le serveur virtuel fonctionne en mode non compatible avec SSL. Dans ce cas, le serveur virtuel doit être configuré pour la couche 4. Par exemple, le serveur virtuel peut être associé à un profil Fast TCP.
Procédure
- Ouvrez le serveur virtuel de couche 7.
- Passez à la page Profils d'équilibrage de charge.
- Faites basculer le bouton Persistance pour activer le profil.
Le profil de persistance autorise l'envoi des connexions client associées au même serveur.
- Sélectionnez le profil Persistance de l'adresse IP source ou Persistance des cookies.
- Sélectionnez le profil de persistance dans le menu déroulant.
- Cliquez sur Suivant.
- Faites basculer le bouton SSL côté client pour activer le profil.
La liaison de profil SSL côté client permet d'associer plusieurs certificats au même serveur virtuel pour différents noms d'hôtes.
Le profil SSL côté client associé est automatiquement renseigné.
- Sélectionnez un certificat par défaut dans le menu déroulant.
Ce certificat est utilisé si le serveur n'héberge pas plusieurs noms d'hôte sur la même adresse IP ou si le client ne prend pas en charge l'extension SNI (Server Name Indication, indication de nom de serveur).
- Sélectionnez le certificat SNI disponible et cliquez sur la flèche pour le déplacer vers la section des éléments sélectionnés.
- (Facultatif) Faites basculer le bouton Authentification du client obligatoire pour activer cet élément de menu.
- Sélectionnez le certificat d'autorité de certification disponible et cliquez sur la flèche pour le déplacer vers la section des éléments sélectionnés.
- Définissez la profondeur de la chaîne de certificats pour vérifier la profondeur de la chaîne de certificats du serveur.
- Sélectionnez la liste de révocation des certificats (CRL) disponible et cliquez sur la flèche pour la déplacer vers la section des éléments sélectionnés.
Une CRL peut être configurée pour interdire les certificats de serveur compromis.
- Cliquez sur Suivant.
- Faites basculer le bouton SSL côté serveur pour activer le profil.
Le profil SSL côté serveur associé est automatiquement renseigné.
- Sélectionnez un certificat client dans le menu déroulant.
Ce certificat est utilisé si le serveur n'héberge pas plusieurs noms d'hôte sur la même adresse IP ou si le client ne prend pas en charge l'extension SNI.
- Sélectionnez le certificat SNI disponible et cliquez sur la flèche pour le déplacer vers la section des éléments sélectionnés.
- (Facultatif) Faites basculer le bouton Authentification du serveur pour activer cet élément de menu.
La liaison de profil SSL côté serveur indique si le certificat de serveur présenté à l'équilibreur de charge pendant l'établissement de liaison SSL doit être validé. Lorsque la validation est activée, le certificat du serveur doit être signé par une des autorités de certification approuvées dont les certificats autosignés sont spécifiés dans la même liaison de profil SSL côté serveur.
- Sélectionnez le certificat d'autorité de certification disponible et cliquez sur la flèche pour le déplacer vers la section des éléments sélectionnés.
- Définissez la profondeur de la chaîne de certificats pour vérifier la profondeur de la chaîne de certificats du serveur.
- Sélectionnez la liste de révocation des certificats (CRL) disponible et cliquez sur la flèche pour la déplacer vers la section des éléments sélectionnés.
Une CRL peut être configurée pour interdire les certificats de serveur compromis. Le protocole OCSP et l'association OCSP ne sont pas pris en charge côté serveur.
- Cliquez sur Terminer.