Un certificat de sécurité est requis pour Inspection TLS sur NSX-T Data Center. Pour intercepter, déchiffrer et chiffrer le trafic pour Inspection TLS et d'autres applications de sécurité avancées, vous devez préparer le proxy TLS afin qu'il puisse agir comme un proxy transparent pour les connexions TLS. NSX Manager nécessite ces certificats pour établir une approbation entre les applications.

La gestion des certificats prend en charge les options suivantes pour l' Inspection TLS.
  • Importation d'un certificat existant ou génération d'une CSR auto-signée ou auto-signée par une autorité de certification (demande de signature de certificat).
  • Exportation d'un certificat existant.
  • Importation ou mise à jour d'un bundle d'autorité de certification approuvée par défaut.
  • Importation ou mise à jour d'une liste de révocation des certificats (CRL) publics par défaut.
  • Filtrage avancé sur toutes les options de filtre prédéfinies.
  • Bannière de certificat expiré sur la page Certificats.
  • Notification de certificats valides ou non valides avec un code couleur.

Pour plus d'informations sur les options de déploiement, reportez-vous au Certificats.

Le proxy TLS nécessite un certificat d'autorité de certification, également appelé autorité de certification de proxy. NSX Manager utilise l'autorité de certification de proxy pour générer des certificats qui empruntent l'identité des points de terminaison dans la connexion interceptée. En d'autres termes, il permet d'usurper les certificats pour le trafic intercepté sur les serveurs de sites Web. Vous pouvez choisir l'un des deux types de certificats d'autorité de certification de proxy :

Pour générer des certificats qui empruntent l'identité des points de terminaison dans la connexion interceptée, le proxy TLS nécessite un certificat d'autorité de certification, également appelé autorité de certification de proxy. NSX Manager utilise l'autorité de certification de proxy. En d'autres termes, il permet d'usurper. Vous pouvez choisir l'un des deux types de certificats d'autorité de certification de proxy :
  • Les certificats auto-signés sont généralement utilisés pour les tests ou les déploiements limités non approuvés. Ce workflow commence par une demande à NSX Manager de générer une paire de clés de certificat d'autorité de certification avec une demande de signature de certificat (CSR). Il demande ensuite à NSX Manager d'auto-signer la CSR.
  • Une autorité de certification émettrice d'entreprise signe des certificats d'autorité de certification subordonnée approuvés. Ce workflow commence par une demande à NSX Manager de générer une paire de clés de certificat d'autorité de certification avec une CSR, de télécharger celle-ci, puis de l'envoyer à l'autorité de certification émettrice, ce qui entraîne la réception d'un certificat signé. Il charge ensuite le certificat d'autorité de certification public signé vers NSX Manager. Le chargement peut inclure une chaîne de certificats. Les chaînes de certificats sont des certificats de signature intermédiaires entre le nouveau certificat et le certificat d'autorité de certification racine.

Il existe plusieurs façons de charger un nouveau certificat d'autorité de certification dans NSX Manager : utilisez l'assistant TLS dans l'interface utilisateur, ajoutez manuellement le certificat dans l'interface utilisateur ou utilisez NSX API. Pour plus de détails, reportez-vous à la section Importer un certificat d'autorité de certification.

Bundles d'autorité de certification approuvée

Après la configuration, ces certificats d'autorité de certification sont distribués aux nœuds exécutant le proxy TLS. Vous pouvez charger plusieurs bundles de certificat d'autorité de certification avec des noms différents. Chaque bundle d'autorité de certification utilisé par le proxy TLS est configuré dans le profil d'action de déchiffrement. Lors du chargement, le bundle d'autorité de certification est validé en tant que concaténation bien formée de certificats codés en PEM et n'est pas stocké s'il n'est pas valide. Si un bundle n'est pas valide, il renvoie des messages d'erreur d'API.

Un seul bundle est limité à une taille de 1 Mo et à 1 000 certificats.

Liste de révocation de certificats

Pour vous assurer que les certificats fournis par les points de terminaison de la connexion interceptée ne sont pas révoqués, vous pouvez utiliser la CRL du proxy TLS, default_public_crl. Vous pouvez mettre à jour cet objet en chargeant une nouvelle CRL pour remplacer l'actuelle. Vous pouvez l'utiliser dans des profils de stratégie. Pour charger une nouvelle CRL vers NSX Manager, utilisez l'interface utilisateur ou l'API. La CRL est distribuée aux nœuds exécutant le proxy TLS. L'API valide la CRL lors du chargement et refuse de la stocker si elle n'est pas valide. NSX-T Data Center prend en charge deux formats de CRL :
  • CRL X.509 codé au format PEM : taille maximale de 40 Mo, 500 000 entrées
  • Mozilla OneCRL : taille maximale de 5 Mo, 10 000 entrées

Gestion des alarmes pour les certificats Inspection TLS

Si vous ne conservez pas vos certificats d'autorité de certification de proxy et qu'ils sont sur le point d'expirer ou ont expiré ou que vous avez reçu un certificat d'autorité de certification expiré, NSX Manager utilise des alarmes pour vous en informer.

NSX-T Data Center déclenche le même ensemble d'alarmes pour les certificats sur le point d'expirer ou expirés dans les bundles d'autorité de certification.

Vous pouvez également recevoir une erreur de serveur de journalisation distant en raison d'un certificat TLS non valide. L'erreur d'événement consignée est Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.. Pour vérifier que le certificat spécifié est valide, utilisez la commande openssl openssl x509 -in <cert-file-path> -noout -dates. Vous pouvez également afficher et mettre à jour les certificats dans l'interface utilisateur d'Inspection TLS.

Pour plus d'informations sur l'expiration du certificat, reportez-vous à la section Notification d'alarme pour l'expiration du certificat. Pour plus d'informations sur les « événements de certificat » spécifiques à TLS depuis NSX Manager, reportez-vous à la section Catalogue d'événements.