Cette rubrique fournit les étapes de configuration manuelle d'un profil d'action de déchiffrement interne.

Conditions préalables

  • Assurez-vous de disposer du rôle d'utilisateur et des autorisations appropriés pour configurer l'inspection TLS.
  • Assurez-vous de disposer d'un certificat de serveur interne importé ou prêt à être importé ou de disposer des informations associées pour générer le certificat.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Inspection TLS > Profils.
  3. Cliquez sur Ajouter un profil d'action de déchiffrement > Déchiffrement interne.
  4. Entrez un nom pour la nouvelle stratégie.
  5. (Facultatif) Sélectionnez un paramètre de profil : Équilibré (par défaut), Haute fidélité, Haute sécurité ou utilisez Personnalisé pour modifier les sous-paramètres.
    Paramètre du profil Description
    Échec de déchiffrement : Contourner et journaliser ou Bloquer et journaliser Définit ce qu'il faut faire en cas d'échec de déchiffrement qui peut être dû à mTLS (authentification TLS mutuelle) ou à l'épinglage de certificat en cours d'utilisation. Si vous sélectionnez Contourner et journaliser, NSX met en cache ce domaine et toutes les connexions suivantes au domaine sont contournées.
    Application du chiffrement : transparent ou appliquer Définit les versions TLS et les suites de chiffrement minimales et maximales pour le client et le serveur. Vous pouvez contourner ce paramètre à l'aide de l'option Transparent.
  6. (Facultatif) Modifiez le délai d'expiration de la connexion. Il s'agit de la durée en secondes pendant laquelle le serveur peut rester inactif après l'établissement d'une connexion TCP. La valeur par défaut est 5 400 secondes. Maintenez ce délai d'expiration inférieur aux paramètres de délai d'inactivité du pare-feu de passerelle.
  7. Développez la section Certificats et clés de serveur et configurez un ou plusieurs certificats de serveur internes.
    1. Importez un certificat ou un certificat d'autorité de certification (CA). Reportez-vous à la section Importer un certificat auto-signé ou signé par une autorité de certification.
    2. Générez un certificat auto-signé ou un certificat d'autorité de certification auto-signé.
    3. Sélectionnez un certificat de serveur existant en cochant la case située à l'avant de la ligne.
    4. Définissez un certificat de serveur existant par défaut en cliquant sur le bouton radio Par défaut à la fin de la ligne.

    Si l'extension SNI n'est pas présente dans le client hello, le certificat de serveur par défaut est présenté au client. Si cette option n'est pas configurée, le proxy TLS n'intercepte pas les connexions qui ne contiennent aucune extension SNI dans le client hello. Si l'extension SNI est présente dans le client hello, mais qu'il n'existe aucun certificat correspondant pour cette extension dans la liste des certificats configurés, le proxy TLS n'intercepte pas ces connexions.

    Lorsqu'un client accède à l'un de ces services internes, le proxy TLS présente ce certificat sélectionné en fonction du domaine du serveur correspondant au champ Émis pour le champ (nom commun).

    Si plusieurs certificats de serveur sont configurés, ils doivent tous avoir des domaines différents, spécifiés par Nom commun (CN) ou Autre nom du sujet (SAN). Deux certificats ne peuvent pas être configurés pour le même domaine, qu'il s'agisse d'un nom de domaine complet (par exemple, www.vmware.com) ou d'un caractère générique (*.vmware.com). Cependant, les certificats avec des domaines génériques qui chevauchent des certificats de nom de domaine complet spécifiques sont autorisés. Dans ce cas, des certificats plus spécifiques sont préférés aux certificats génériques lors de la sélection d'un certificat à présenter au client en fonction de l'extension SNI dans le client hello, .

  8. (Facultatif) Par défaut, la validation du certificat de serveur est facultative et désactivée. Il n'est pas nécessaire de configurer cette option s'il s'agit d'un service appartenant à l'entreprise. Si vous souhaitez appliquer cette validation, activez la validation du certificat de serveur en la basculant sur Activé.
    1. Développez la section et configurez vos options de validation. Vous pouvez choisir le bundle d'autorité de certification approuvé par défaut et la liste de révocation des certificats ou les importer.
      Pour plus de détails, reportez-vous aux sections Importer ou mettre à jour un bundle d'autorité de certification approuvée et Importer une liste de révocation des certificats.
    2. Cliquez sur Enregistrer.

Résultats

Vous pouvez désormais utiliser le profil d'action de déchiffrement interne pour configurer des stratégies et des règles d'inspection TLS sur vos passerelles de niveau 1.

Que faire ensuite

Créez des stratégies et des règles de déchiffrement internes d'inspection TLS.