Les profils SSL configurent des propriétés SSL indépendantes des applications, notamment des listes de chiffrement qui peuvent être réutilisées sur plusieurs applications. Les propriétés SSL sont différentes lorsque l'équilibreur de charge est utilisé en tant que client ou en tant que serveur, et par conséquent, des profils SSL distincts sont pris en charge pour le côté client et le côté serveur.

Note : Le profil SSL n'est pas pris en charge dans la version Limited Export de NSX-T Data Center.

Le profil SSL côté client fait référence à l'équilibreur de charge utilisé en tant que serveur SSL et à l'arrêt de la connexion SSL client. Le profil SSL côté serveur fait référence à l'équilibreur de charge utilisé en tant que client et à l'établissement d'une connexion avec le serveur.

Vous pouvez spécifier une liste de chiffrement sur les profils SSL côté client et côté serveur.

La mise en cache de session SSL permet au client et au serveur SSL de réutiliser les paramètres de sécurité précédemment négociés en évitant l'opération de clé publique coûteuse au cours de l'établissement de liaison SSL. Cette mise en cache est désactivée par défaut côté client et côté serveur.

Les tickets de session SSL constituent un autre mécanisme qui permet au client et au serveur SSL de réutiliser les paramètres de session précédemment négociés. Dans ces tickets, le client et le serveur négocient s'ils prennent en charge les tickets de session SSL lors de l'établissement de liaison. S'ils sont pris en charge des deux côtés, le serveur peut envoyer un ticket SSL, qui inclut des paramètres de session SSL chiffrés, au client. Le client peut utiliser ce ticket dans les connexions suivantes afin de réutiliser la session. Les tickets de session SSL sont activés côté client et désactivés côté serveur.

Figure 1. Déchargement SSL
Figure 2. SSL de bout en bout

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Sélectionnez Mise en réseau > Équilibrage de charge > Profils > Profils SSL.
  3. Créez un profil SSL client.
    1. Sélectionnez Ajouter > SSL côté client dans le menu déroulant.
    2. Entrez un nom et une description pour le profil SSL client.
    3. Sélectionnez les chiffrements SSL à inclure dans le profil SSL client.
      Vous pouvez également créer des chiffrements SSL personnalisés.
    4. Cliquez sur la flèche pour déplacer les chiffrements vers la section des éléments sélectionnés.
    5. Cliquez sur l'onglet Protocoles et sessions.
    6. Sélectionnez les protocoles SSL à inclure dans le profil SSL client.
      Les versions de protocole SSL TLS 1.1 et TLS 1.2 sont activées par défaut. TLS 1.0 est également prise en charge, mais désactivée par défaut.
    7. Cliquez sur la flèche pour déplacer les protocoles vers la section des éléments sélectionnés.
    8. Indiquez les détails du protocole SSL.
      Vous pouvez également accepter les paramètres du profil SSL par défaut.
      Option Description
      Mise en cache de session La mise en cache de session SSL permet au client et au serveur SSL de réutiliser les paramètres de sécurité précédemment négociés en évitant l'opération de clé publique coûteuse au cours de l'établissement de liaison SSL.
      Délai d'expiration de l'entrée de cache de session Entrez le délai d'expiration du cache en secondes pour spécifier la durée pendant laquelle les paramètres de session SSL sont conservés et peuvent être réutilisés.
      Chiffrement de serveur préféré Faites basculer ce bouton pour que le serveur puisse sélectionner le premier chiffrement pris en charge dans la liste.

      Lors de l'établissement de liaison SSL, le client envoie une liste ordonnée des chiffrements pris en charge au serveur.

    9. Cliquez sur OK.
  4. Créer un profil SSL de serveur.
    1. Sélectionnez Ajouter > SSL côté serveur dans le menu déroulant.
    2. Entrez un nom et une description pour le profil SSL de serveur.
    3. Sélectionnez les chiffrements SSL à inclure dans le profil SSL de serveur.
      Vous pouvez également créer des chiffrements SSL personnalisés.
    4. Cliquez sur la flèche pour déplacer les chiffrements vers la section des éléments sélectionnés.
    5. Cliquez sur l'onglet Protocoles et sessions.
    6. Sélectionnez les protocoles SSL à inclure dans le profil SSL de serveur.
      Les versions de protocole SSL TLS 1.1 et TLS 1.2 sont activées par défaut. TLS 1.0 est également prise en charge, mais désactivée par défaut.
    7. Cliquez sur la flèche pour déplacer les protocoles vers la section des éléments sélectionnés.
    8. Acceptez le paramètre de mise en cache de session par défaut.
      La mise en cache de session SSL permet au client et au serveur SSL de réutiliser les paramètres de sécurité précédemment négociés en évitant l'opération de clé publique coûteuse au cours de l'établissement de liaison SSL.
    9. Cliquez sur OK.