I profili SSL configurano proprietà SSL indipendenti dalle applicazioni, come gli elenchi di crittografia, e riutilizzano questi elenchi in più applicazioni. Le proprietà SSL sono diverse quando il bilanciamento del carico agisce come client e come server, di conseguenza sono supportati profili SSL separati per il lato client e il lato server.

Nota: Il profilo SSL non è supportato nella versione Limited Export di NSX.

Il profilo SSL sul lato client si riferisce al bilanciamento del carico che agisce come server SSL e termina la connessione SSL del client. Il profilo SSL lato server si riferisce al bilanciamento del carico che agisce come client e stabilisce una connessione al server.

È possibile specificare un elenco di crittografia sia nei profili SSL sul lato client che lato server.

La memorizzazione nella cache della sessione SSL consente al client e al server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la dispendiosa operazione di chiave pubblica durante l'handshake SSL. La memorizzazione in cache della sessione SSL è disabilitata per impostazione predefinita sia sul lato client che sul lato server.

I ticket della sessione SSL sono un meccanismo alternativo che consente al client e al server SSL di riutilizzare i parametri della sessione negoziati in precedenza. Nei ticket di sessione SSL, il client e il server negoziano il supporto dei ticket di sessione SSL durante lo scambio di handshake. Se il meccanismo è supportato da entrambi, il server può inviare al client un ticket SSL che include parametri di sessione SSL crittografati. Il client può utilizzare tale ticket nelle connessioni successive per riutilizzare la sessione. I ticket di sessione SSL sono abilitati sul lato client e disabilitati sul lato server.

Figura 1. Offload SSL
""
Figura 2. SSL end-to-end
""

Prerequisiti

Verificare che sia selezionata la modalità Manager nell'interfaccia utente di NSX Manager. Vedere NSX Manager. Se non sono presenti i pulsanti delle modalità Criterio e Manager, vedere Configurazione delle impostazioni dell'interfaccia utente.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Rete > Bilanciamento del carico > Profili > Profili SSL.
  3. Creare un profilo SSL client.
    1. Selezionare Aggiungi > SSL lato client dal menu a discesa.
    2. Immettere un nome e una descrizione per il profilo SSL client.
    3. Assegnare le crittografie SSL da includere nel profilo SSL client.
      È inoltre possibile creare crittografie SSL personalizzate.
    4. Fare clic sulla freccia per spostare le crittografie nella sezione Selezionati.
    5. Fare clic sulla scheda Protocolli e sessioni.
    6. Selezionare i protocolli SSL da includere nel profilo SSL client.
      Le versioni dei protocolli SSL TLS1.1 e TLS1.2 sono abilitate per impostazione predefinita. Anche TLS1.0 è supportato, ma è disabilitato per impostazione predefinita.
    7. Fare clic sulla freccia per spostare il protocollo nella sezione Selezionati.
    8. Specificare i dettagli del protocollo SSL.
      È inoltre possibile accettare le impostazioni del profilo SSL predefinito.
      Opzione Descrizione
      Memorizzazione della sessione nella cache La memorizzazione nella cache della sessione SSL consente al client e al server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la costosa operazione di chiave pubblica durante un handshake SSL.
      Timeout voce cache sessione Immettere il timeout della cache espresso in secondi per specificare per quanto tempo i parametri della sessione SSL devono essere mantenuti e possono essere riutilizzati.
      Preferisci crittografia server Agire sul pulsante in modo che il server possa selezionare la prima crittografia supportata dall'elenco utilizzabile.

      Durante un handshake SSL, il client invia al server un elenco ordinato di crittografie supportate.

    9. Fare clic su OK.
  4. Creare un profilo SSL server.
    1. Selezionare Aggiungi > SSL lato server dal menu a discesa.
    2. Immettere un nome e una descrizione per il profilo SSL del server.
    3. Selezionare le crittografie SSL da includere nel profilo SSL del server.
      È inoltre possibile creare crittografie SSL personalizzate.
    4. Fare clic sulla freccia per spostare le crittografie nella sezione Selezionati.
    5. Fare clic sulla scheda Protocolli e sessioni.
    6. Selezionare i protocolli SSL da includere nel profilo SSL del server.
      Le versioni dei protocolli SSL TLS1.1 e TLS1.2 sono abilitate per impostazione predefinita. Anche TLS1.0 è supportato, ma è disabilitato per impostazione predefinita.
    7. Fare clic sulla freccia per spostare il protocollo nella sezione Selezionati.
    8. Accettare l'impostazione predefinita per la memorizzazione della sessione nella cache.
      La memorizzazione nella cache della sessione SSL consente al client e al server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la costosa operazione di chiave pubblica durante un handshake SSL.
    9. Fare clic su OK.