Ora è possibile utilizzare un bundle di autorità di certificazione (CA) attendibile integrato per la catena di attendibilità di Ispezione TLS per supportare applicazioni di sicurezza avanzate, come IDS/IPS, filtro URL, malware e ID app granulare.
È possibile utilizzare il bundle CA integrato, default_trusted_public_ca_bundle
, internamente per l'ispezione e la decrittografia TLS per i firewall del gateway.
Per i servizi esterni, il proxy TLS richiede un bundle CA attendibile configurato per convalidare il certificato che un servizio esterno gli presenta. È possibile configurare gli External_Decryption_Profile.trusted_ca_bundle con uno o più bundle CA in cui ciascun bundle è un elenco di certificati. È necessario configurare almeno un bundle CA. In genere, i servizi esterni utilizzano CA noti come Verisign e DigiCert. Pertanto, per semplificare la configurazione, NSX-T Data Center include un default_trusted_public_ca_bundle integrato che contiene un elenco di certificati CA ampiamente utilizzati, simile al modo in cui i sistemi operativi vengono pre-installati con i certificati CA più diffusi. È possibile aggiornare questo bundle oppure creare un bundle CA personalizzato e utilizzarlo.
- Convalidare l'ispezione e la decrittografia TLS utilizzando il bundle CA attendibile predefinito.
- Visualizzare tutti i certificati nel bundle CA, incluso il filtro dei dettagli di base utilizzando il pulsante Visualizza tutti i certificati.
- Cercare bundle CA scaduti, in scadenza, validi, utilizzati e inutilizzati usando il pulsante Visualizza tutti i certificati.
- La modifica del nome visualizzato del bundle CA comporta l'aggiunta o la rimozione di certificati dal bundle.
- Esportare un bundle CA per l'inclusione su altri dispositivi.
- Copiare localmente il percorso del bundle CA.
- Importare un nuovo bundle CA attendibile utilizzando il pulsante Importa bundle CA.