Questo argomento illustra i passaggi per configurare manualmente un profilo azione di decrittografia interna.

Prerequisiti

  • Disporre del ruolo utente e delle autorizzazioni corretti per configurare l'ispezione TLS.
  • Deve essere importato un certificato interno del server o pronto per essere importato o avere le informazioni correlate per generare il certificato.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Sicurezza > Ispezione TLS > Profili.
  3. Fare clic su Aggiungi profilo azione decrittografia > decrittografia interna.
  4. Immettere un nome per il nuovo criterio.
  5. (Facoltativo) Selezionare un'impostazione del profilo: Bilanciata (predefinita), Alta definizione, Alta sicurezza o Personalizza per modificare le sottoimpostazioni.
    Impostazione profilo Descrizione
    Errore di decrittografia: Ignora e registra o Blocca e registra Imposta cosa fare quando si verifica un errore di decrittografia dovuto a mTLS (TLS reciproca) o all'aggiunta del certificato in uso. Se si seleziona Ignora & Registro, NSX memorizza nella cache il dominio e tutte le connessioni successive al dominio vengono ignorate.
    Imposizione crittografica: trasparente o applicata Imposta le versioni TLS e i pacchetti di crittografia minimi e massimi per il client e il server. È possibile ignorare questa operazione utilizzando l'opzione Trasparente.
  6. (Facoltativo) Modifica timeout di connessione inattivo. Questo è il tempo in secondi per cui il server può restare inattivo dopo aver stabilito una connessione TCP. Il valore predefinito è 5400 secondi. Mantenere questo timeout inferiore alle impostazioni di timeout di inattività del firewall del gateway.
  7. Espandere la sezione Chiavi e certificati server e configurare uno o più certificati server interni.
    1. Importa un certificato o un certificato CA. Vedere Importazione di un certificato autofirmato o firmato da un'autorità di certificazione.
    2. Generare un certificato autofirmato o un certificato CA autofirmato.
    3. Selezionare un certificato server esistente facendo clic sulla casella di controllo nella parte anteriore della riga.
    4. Rendere predefinito un certificato server esistente facendo clic sul pulsante di opzione Impostazione predefinita alla fine della riga.

    Se l'estensione SNI non è presente nel client hello, il certificato del server predefinito viene presentato al client. Se questa opzione non è configurata, il proxy TLS non intercetta le connessioni che non contengono estensioni SNI nel client hello. Se l'estensione SNI è presente nel client hello, ma non è presente alcun certificato corrispondente per esso nell'elenco di certificati configurati, il proxy TLS non intercetta queste connessioni.

    Quando un client accede a uno di questi servizi interni, il proxy TLS presenta il certificato selezionato in base al dominio del server corrispondente al campo Emesso al campo (CN).

    Se sono configurati più certificati del server, tutti devono avere domini diversi, specificati da Nome comune (CN) o Nome alternativo del soggetto (SAN). Non è possibile configurare due certificati per lo stesso dominio, ossia il nome di dominio completo (ad esempio, www.vmware.com) o il carattere jolly (*.vmware.com). Tuttavia, sono consentiti certificati con domini con caratteri jolly che si sovrappongono con certificati FQDN specifici. In questi casi, i certificati più specifici vengono preferiti ai certificati con caratteri jolly mentre si seleziona un certificato da presentare al client in base all'estensione SNI in client hello.

  8. (Facoltativo) Per impostazione predefinita, la convalida del certificato del server è facoltativa e disabilitata per impostazione predefinita. Non è necessario configurare questo se si tratta di un servizio di proprietà dell'azienda. Se si desidera applicare questa convalida, attivare la convalida del certificato del server attivandola .
    1. Espandere la sezione e configurare le opzioni di convalida. È possibile scegliere il bundle CA attendibile e il CRL predefiniti o importarli.
      Per dettagli, vedere Importazione o aggiornamento di un bundle CA attendibile e Importazione di un elenco di revoche di certificati.
    2. Fare clic su Salva.

risultati

Ora è possibile utilizzare il profilo azione di decrittografia interna per configurare i criteri e le regole di ispezione TLS nei gateway di livello 1.

Operazioni successive

Creare criteri e regole di decrittografia interna dell'ispezione TLS.