Con i server virtuali di livello 7, è possibile configurare facoltativamente la persistenza del bilanciamento del carico, nonché i profili SSL sul lato client e i profili SSL sul lato server.

Nota: Il profilo SSL non è supportato nella versione Limited Export di NSX-T Data Center.

Se un binding del profilo SSL lato client è configurato in un server virtuale ma non in un binding del profilo SSL sul lato server, il server virtuale funziona in modalità di terminazione SSL, implementando una connessione crittografata al client e una connessione di testo normale al server. Se sono configurati i binding dei profili SSL lato client e lato server, il server virtuale opera in modalità proxy SSL, implementando una connessione crittografata sia al client che al server.

L'associazione del binding del profilo SSL lato server senza associare un binding del profilo SSL lato client non è attualmente supportata. Se un binding del profilo SSL lato client e lato server non è associato a un server virtuale e l'applicazione è basata su SSL, il server virtuale funziona senza riconoscere l'SSL. In questo caso, il server virtuale deve essere configurato per il livello 4. Ad esempio, il server virtuale può essere associato a un profilo Fast TCP.

Prerequisiti

Verificare che sia disponibile un server virtuale di livello 7. Vedere Configurazione dei server virtuali di livello 7 in modalità Manager.

Procedura

  1. Aprire il server virtuale di livello 7.
  2. Passare alla pagina Profili di bilanciamento del carico.
  3. Attivare o disattivare il pulsante Persistenza per abilitare il profilo.
    Il profilo di persistenza consente l'invio delle connessioni client correlate allo stesso server.
  4. Selezionare il profilo Persistenza IP di origine o Persistenza cookie.
  5. Selezionare il profilo di persistenza esistente dal menu a discesa.
  6. Fare clic su Avanti.
  7. Attivare o disattivare il pulsante SSL lato client per abilitare il profilo.
    Il binding del profilo SSL lato client consente di associare certificati multipli, per associare nomi host differenti allo stesso server virtuale.
    Il profilo SSL sul lato client associato viene compilato automaticamente.
  8. Selezionare un certificato predefinito dal menu a discesa.
    Questo certificato viene utilizzato se il server non ospita nomi host multipli nello stesso indirizzo IP o se il client non supporta l'estensione SNI (Server Name Indication).
  9. Selezionare il certificato SNI disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
  10. (Facoltativo) Attivare o disattivare Autenticazione client obbligatoria per abilitare questa voce di menu.
  11. Selezionare il certificato CA disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
  12. Impostare la profondità della catena di certificati per verificare la profondità nella catena di certificati del server.
  13. Selezionare il CRL disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
    È possibile configurare un CRL per non consentire i certificati del server compromessi.
  14. Fare clic su Avanti.
  15. Attivare o disattivare il pulsante SSL lato server per abilitare il profilo.
    Il profilo SSL lato server associato viene compilato automaticamente.
  16. Selezionare un certificato client dal menu a discesa.
    Il certificato client viene utilizzato se il server non ospita più nomi host nello stesso indirizzo IP o se il client non supporta l'estensione SNI (Server Name Indication).
  17. Selezionare il certificato SNI disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
  18. (Facoltativo) Attivare o disattivare Autenticazione server per abilitare questa voce di menu.
    Il binding del profilo SSL lato server specifica se il certificato del server presentato al bilanciamento del carico durante l'handshake SSL deve essere convalidato o meno. Quando la convalida è abilitata, il certificato del server deve essere firmato da una delle autorità di certificazione attendibili i cui certificati autofirmati sono specificati nello stesso binding del profilo SSL lato server.
  19. Selezionare il certificato CA disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
  20. Impostare la profondità della catena di certificati per verificare la profondità nella catena di certificati del server.
  21. Selezionare il CRL disponibile e fare clic sulla freccia per spostare il certificato nella sezione Selezionati.
    È possibile configurare un CRL per non consentire i certificati del server compromessi. OCSP e l'associazione OCSP non sono supportate sul lato server.
  22. Fare clic su Fine.