Cette rubrique fournit les étapes de configuration manuelle d'un profil d'action de déchiffrement externe.

Conditions préalables

  • Assurez-vous de disposer du rôle d'utilisateur et des autorisations appropriés pour configurer l'inspection TLS.
  • Assurez-vous de disposer d'une autorité de certification de proxy approuvée et d'une autorité de certification de proxy non approuvée, importées ou prêtes à être importées, ou de disposer des informations associées pour générer un certificat.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Sécurité > Inspection TLS > Profils.
  3. Cliquez sur Ajouter un profil d'action de déchiffrement > déchiffrement externe.
  4. Entrez un nom pour le nouveau profil.
  5. (Facultatif) Sélectionnez un paramètre de profil : Équilibré (par défaut), Haute fidélité, Haute sécurité ou utilisez Personnalisé pour modifier les sous-paramètres.
    Paramètre du profil Description
    Certificats non valides : Autoriser ou Bloquer et journaliser Définissez des règles pour autoriser ou bloquer le trafic lorsqu'un certificat non valide est présenté par le serveur. Si Autoriser est sélectionné et que le serveur présente un certificat expiré ou non approuvé, ce choix permet à la connexion de continuer en envoyant un certificat de proxy non approuvé au client.
    Échec de déchiffrement : Contourner et journaliser ou Bloquer et journaliser Définit ce qu'il faut faire en cas d'échec de déchiffrement qui peut être dû à mTLS (authentification TLS mutuelle) ou à l'épinglage de certificat en cours d'utilisation. Si Contourner et journaliser est sélectionné, NSX met en cache ce domaine et toutes les connexions suivantes au domaine sont contournées.
    Application du chiffrement : transparent ou appliquer Définit les versions TLS et les suites de chiffrement minimales et maximales pour le client et le serveur. Vous pouvez contourner ce paramètre à l'aide de l'option Transparent.
  6. (Facultatif) Modifiez le délai d'expiration de la connexion. Il s'agit de la durée en secondes pendant laquelle le serveur peut rester inactif après l'établissement d'une connexion TCP. La valeur par défaut est 5 400 secondes. Maintenez ce délai d'expiration inférieur aux paramètres de délai d'inactivité du pare-feu de passerelle.
  7. (Facultatif) Sélectionnez les paramètres d'autorité de certification approuvée pour sélectionner Bundle d'autorité de certification approuvé, Listes de révocation de certificats (CRL) et l'option d'association OCSP.
    Option Description
    Bundle d'autorité de certification approuvé Valide le certificat que le service externe présente à NSX. Vous pouvez utiliser le bundle d'autorité de certification approuvé par défaut ou importer un nouveau bundle d'autorité de certification, puis choisir plusieurs bundles par profil si nécessaire. Ce bundle n'est pas automatiquement mis à jour. Vous devez donc le mettre à jour si nécessaire. Pour plus d'informations, reportez-vous à la section Importer ou mettre à jour un bundle d'autorité de certification approuvée sous Gestion des certificats.
    CRL NSX inclut également une liste de révocation de certificat (CRL) pour valider le certificat présenté par le serveur. Vous pouvez utiliser la liste de révocation des certificats par défaut ou en importer une nouvelle, puis choisir plusieurs listes de révocation de certificats par profil si nécessaire. Cette liste de révocation des certificats n'est pas automatiquement mise à jour. Vous devez donc la mettre à jour si nécessaire. Pour plus d'informations, reportez-vous à la section Importation et récupération de listes de révocation de certificats sous Gestion des certificats.
    Exiger l'association OCSP Pour appliquer l'association OSCP pour le certificat de serveur présenté. Dans l'association OCSP, le serveur propriétaire du certificat interroge le répondeur OCSP et inclut la réponse OCSP horodatée et signée reçue en tant qu'extension CertificateStatusRequest, ainsi que son certificat. Si le serveur dispose d'un certificat chaîné, il doit également effectuer l'association OCSP pour tous les certificats d'autorité de certification intermédiaires.
  8. Pour importer ou générer une autorité de certification de proxy approuvée ou non approuvée, sélectionnez la liste déroulante Autorité de certification de proxy, sélectionnez l'onglet Autorité de certification du proxy approuvée ou Autorité de certification du proxy non approuvé, puis effectuez l'une des opérations suivantes :
    • Sélectionnez Importer > Certificat d'autorité de certification.
    • Sélectionnez Générer > Certificat d'autorité de certification auto-signé.

      Entrez les informations requises et cliquez sur Enregistrer. Pour plus de détails sur l'importation d'autorités de certification approuvées, reportez-vous à la section Importation et remplacement de certificats.

  9. Pour enregistrer le profil, qui peut ensuite être utilisé pour les stratégies d'inspection TLS, sélectionnez Enregistrer.

Résultats

Vous pouvez désormais utiliser le profil d'action de déchiffrement pour configurer des règles de déchiffrement externes sur vos passerelles de niveau 1.

Que faire ensuite

Créez des stratégies et des règles de déchiffrement externes d'Inspection TLS.