Per Ispezione TLS in NSX-T Data Center, è necessario un certificato di sicurezza. Per intercettare, decrittografare e crittografare il traffico per Ispezione TLS e altre applicazioni di sicurezza avanzate, è necessario preparare il proxy TLS in modo che possa fungere da proxy trasparente per le connessioni TLS. NSX Manager richiede questi certificati per stabilire una relazione di attendibilità tra le applicazioni.

La gestione dei certificati supporta le seguenti opzioni per Ispezione TLS.
  • Importare un certificato esistente o generare una nuova richiesta di firma del certificato autofirmato o CA autofirmato.
  • Esportare un certificato esistente.
  • Importare o aggiornare un bundle CA attendibile predefinito.
  • Importare o aggiornare un elenco di revoche di certificati (CRL) pubblici predefinito.
  • Filtraggio avanzato su tutte le opzioni di filtro predefinite.
  • Banner del certificato scaduto nella pagina Certificati.
  • Notifica con codifica a colori dei certificati validi o non validi.

Per informazioni su queste opzioni, vedere Certificati.

Il proxy TLS richiede un certificato CA, denominato anche CA proxy. NSX Manager utilizza la CA proxy per generare certificati che rappresentano gli endpoint nella connessione intercettata. In altre parole, consente di eseguire lo spoofing dei certificati per il traffico intercettato sui server dei siti Web. È possibile scegliere uno dei due tipi di certificati CA proxy:

Per generare certificati che rappresentano gli endpoint nella connessione intercettata, il proxy TLS richiede un certificato CA, denominato anche CA proxy. NSX Manager utilizza la CA proxy. In altre parole, consente di eseguire lo spoofing. È possibile scegliere uno dei due tipi di certificati CA proxy:
  • I certificati autofirmati vengono in genere utilizzati per eseguire test o distribuzioni limitate non attendibili. Questo workflow inizia con una richiesta a NSX Manager per generare una coppia di chiavi del certificato CA con una richiesta di firma del certificato. Viene quindi richiesta a NSX Manager di firmare autonomamente la richiesta di firma del CSR.
  • Un'autorità di certificazione emittente dell'azienda firma certificati CA subordinati attendibili. Questo workflow inizia con una richiesta a NSX Manager per generare una coppia di chiavi del certificato CA con una richiesta di firma del CSR, scaricare la richiesta di firma del CSR e quindi inviare la richiesta all'autorità di certificazione emittente, che comporta la ricezione di un certificato firmato. Quindi, carica il certificato CA pubblica firmato nella NSX Manager. Il caricamento può includere una catena di certificati. Le catene di certificati sono certificati di firma intermedi tra il nuovo certificato e il certificato CA root.

Esistono diversi modi per caricare un nuovo certificato CA in NSX Manager: utilizzare la procedura guidata TLS nell'interfaccia utente, aggiungere manualmente il certificato nell'interfaccia utente oppure utilizzare NSX API. Per informazioni dettagliate, vedere Importazione di un certificato CA.

Bundle CA attendibili

Dopo la configurazione, questi certificati CA vengono distribuiti ai nodi che eseguono il proxy TLS. È possibile caricare più bundle di certificati CA con nomi diversi. Ogni bundle CA utilizzato dal proxy TLS viene configurato nel profilo azione di decrittografia. Al momento del caricamento, il bundle CA viene convalidato come concatenazione ben formata di certificati con codifica PEM e non viene archiviato se non è valido. Se un bundle non è valido, restituisce messaggi di errore API.

Un singolo bundle ha una dimensione limitata di 1 MB e 1.000 certificati.

Elenco di revoche dei certificati

Per assicurarsi che i certificati offerti dagli endpoint della connessione intercettata non vengano revocati, è possibile utilizzare l'elenco di revoche di certificati del proxy TLS default_public_crl. È possibile aggiornare questo oggetto caricando un nuovo CRL per sostituire quello esistente. È possibile utilizzarla nei profili dei criteri. Per caricare un nuovo CRL in NSX Manager, utilizzare l'interfaccia utente o l'API. L'elenco di certificati viene distribuito ai nodi che eseguono il proxy TLS. L'API convalida l'elenco di certificati al momento del caricamento e rifiuta di archiviarlo se non è valido. NSX-T Data Center supporta due formati CRL:
  • X.509 CRL con codifica PEM - Dimensione massima di 40 MB, 500.000 voci
  • Mozilla OneCRL - 5 MB di dimensione massima, 10.000 voci

Gestione degli allarmi per i certificati di Ispezione TLS

Se non si gestiscono i certificati CA proxy che stanno per scadere o sono scaduti, oppure se è stato ricevuto un certificato CA scaduto, NSX Manager utilizza gli allarmi per inviare notifiche all'utente.

NSX-T Data Center genera lo stesso set di allarmi per i certificati in scadenza o scaduti nei bundle CA.

È inoltre possibile che venga visualizzato un errore del server di registrazione remota a causa di un certificato TLS non valido. L'errore dell'evento registrato è Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule. Per verificare che il certificato specificato sia valido, utilizzare il comando openssl x509 -in <cert-file-path> -noout -dates. È inoltre possibile visualizzare e aggiornare i certificati nell'interfaccia utente di Ispezione TLS.

Per ulteriori dettagli sulla scadenza del certificato, vedere Notifica allarme per la scadenza dei certificati. Per informazioni dettagliate sugli "Eventi dei certificati" specifici di TLS da NSX Manager, vedere https://docs.vmware.com/it/VMware-NSX-Event-Catalog/index.html.