Questo argomento illustra i passaggi per configurare manualmente un profilo azione di decrittografia esterna.

Prerequisiti

  • Disporre del ruolo utente e delle autorizzazioni corretti per configurare l'ispezione TLS.
  • Disporre di un'autorità di certificazione del proxy attendibile e un certificato CA proxy non attendibile importati o pronti per l'importazione oppure disporre delle informazioni correlate per generare un certificato.

Procedura

  1. Con i privilegi di amministratore, accedere a NSX Manager.
  2. Passare a Sicurezza > Ispezione TLS > Profili.
  3. Fare clic su Aggiungi profilo azione decrittografia > decrittografia esterna.
  4. Immettere un nome per il nuovo profilo.
  5. (Facoltativo) Selezionare un'impostazione del profilo: Bilanciata (predefinita), Alta definizione, Alta sicurezza o Personalizza per modificare le sottoimpostazioni.
    Impostazione profilo Descrizione
    Certificati non validi: Consenti o Blocca e registra Impostare regole per consentire o bloccare il traffico quando un certificato non valido viene presentato dal server. Se si seleziona Consenti e il server presenta un certificato scaduto o non attendibile, questa scelta consente alla connessione di continuare inviando al client un certificato proxy non attendibile.
    Errore di decrittografia: Ignora e registra o Blocca e registra Imposta cosa fare quando si verifica un errore di decrittografia dovuto a mTLS (TLS reciproca) o all'aggiunta del certificato in uso. Se è selezionata l'opzione Ignora e registra, NSX memorizza nella cache il dominio e tutte le connessioni successive al dominio vengono ignorate.
    Imposizione crittografica: trasparente o applicata Imposta le versioni TLS e i pacchetti di crittografia minimi e massimi per il client e il server. È possibile ignorare questa opzione utilizzando l'opzione Trasparente
  6. (Facoltativo) Modifica timeout di connessione inattivo. Questo è il tempo in secondi per cui il server può restare inattivo dopo aver stabilito una connessione TCP. Il valore predefinito è 5400 secondi. Mantenere questo timeout inferiore alle impostazioni di timeout di inattività del firewall del gateway.
  7. (Facoltativo) Selezionare le impostazioni dell'autorità di certificazione attendibile per selezionare Bundle CA attendibile, CRL e l'opzione di distribuzione dell'OCSP.
    Opzione Descrizione
    Bundle CA attendibile Convalida il certificato presentato dal servizio esterno per NSX. È possibile utilizzare il bundle CA attendibile predefinito o importare un nuovo bundle CA, quindi scegliere più bundle per profilo, se necessario. Questo bundle non viene aggiornato automaticamente, pertanto è necessario aggiornarlo in base alle necessità. Per ulteriori dettagli, vedere Importazione o aggiornamento di un bundle CA attendibile in Gestione certificati.
    CRL NSX include anche un elenco di revoche di certificati (CRL) per convalidare il certificato presentato dal server. È possibile utilizzare l'elenco CRL predefinito o importare un nuovo CRL, quindi scegliere più CRL per profilo, se necessario. Questo CRL non viene aggiornato automaticamente, quindi è necessario aggiornarlo in base alle necessità. Per ulteriori dettagli, vedere Importazione e recupero di CRL in Gestione certificati.
    Richiedi associazione OCSP Per imporre la distribuzione di OSCP per il certificato server presentato. Nella distribuzione OCSP, il server proprietario del certificato esegue una query nel risponditore OCSP e include la risposta OCSP ricevuta con data e ora e firmata come estensione CertificateStatusRequest insieme al relativo certificato. Se il server ha un certificato concatenato, il server deve eseguire la pinzatura OCSP anche per tutti i certificati CA intermedi.
  8. Per importare o generare un'autorità di certificazione proxy attendibile o non attendibile, selezionare il menu a discesa CA proxy, selezionare CA proxy attendibile o la scheda CA proxy non attendibile, quindi eseguire una delle seguenti operazioni:
    • Selezionare Importa > Certificato CA.
    • Selezionare Genera > Certificato CA autofirmato.

      Immettere i dettagli richiesti e fare clic su Salva. Per i dettagli sull'importazione delle CA proxy, vedere Importazione e sostituzione di certificati.

  9. Per salvare il profilo, che può quindi essere utilizzato per i criteri di ispezione TLS, selezionare Salva.

risultati

Ora è possibile utilizzare il profilo azione di decrittografia per configurare regole di decrittografia esterne sui gateway di livello 1.

Operazioni successive

Creare criteri e regole di decrittazione esterne per l'ispezione TLS.