I profili SSL configurano proprietà SSL indipendenti dalle applicazioni, come gli elenchi di crittografia, e riutilizzano questi elenchi in più applicazioni. Le proprietà SSL sono diverse quando il bilanciamento del carico agisce come client e come server, di conseguenza sono supportati profili SSL separati per il lato client e il lato server.

Nota: Il profilo SSL non è supportato nella versione Limited Export di NSX.

Il profilo SSL sul lato client si riferisce al bilanciamento del carico che agisce come server SSL e arresta la connessione SSL del client. Il profilo SSL lato server si riferisce al bilanciamento del carico che agisce come client e stabilisce una connessione al server.

È possibile specificare un elenco di crittografia nei profili SSL sul lato client e sul lato server. In NSX Manager sono disponibili i seguenti profili SSL predefiniti:
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile,
  • default-high-security-server-ssl-profile.
Il profilo SSL "con bilanciamento" supporta una combinazione di protocolli e crittografie SSL per offrire un perfetto mix di prestazioni e sicurezza ai client/server. Il profilo SSL "con alto livello di compatibilità" supporta una vasta gamma di protocolli e crittografie SSL per offrire l'accesso al numero più ampio possibile di client/server. Il profilo SSL "con alto livello di sicurezza" supporta i protocolli e la crittografia SSL più sicuri per offrire l'accesso più protetto ai client/server. È inoltre possibile creare profili SSL personalizzati.

Per le versioni di NSX 4.1.x, NSX Manager poteva comunicare con un server virtuale LB NSX se il server virtuale era configurato con default-balanced-client-ssl-profile e i certificati ECDSA. NSX Manager non era in grado di comunicare con un server virtuale LB NSX se il server virtuale era configurato con default-balanced-client-ssl-profile e i certificati RSA, perché il gruppo di crittografia bilanciato non supportava la crittografia TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 richiesta. Di conseguenza, la comunicazione tra NSX Manager e il VIP LB di vIDM con una configurazione di questo tipo era interrotta dalla versione NSX 4.1.x. A partire da NSX 4.2, la crittografia TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 è stata aggiunta ai profili client/server bilanciati e ad alta compatibilità per supportare la comunicazione tra NSX Manager e un server virtuale di bilanciamento del carico per vIDM. Con questa nuova aggiunta, non è più necessario creare un profilo personalizzato e aggiungere la crittografia TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 come soluzione alternativa per supportare la comunicazione tra NSX Manager e un VIP LB di vIDM.

La memorizzazione nella cache della sessione SSL consente al client e al server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la dispendiosa operazione di chiave pubblica durante l'handshake SSL. La memorizzazione in cache della sessione SSL è disabilitata per impostazione predefinita sia sul lato client che sul lato server.

I ticket di sessione SSL sono un meccanismo alternativo che consente al client e al server SSL di riutilizzare i parametri di sessione negoziati in precedenza. Nei ticket di sessione SSL, il client e il server negoziano il supporto dei ticket di sessione SSL durante lo scambio di handshake. Se il meccanismo è supportato da entrambi, il server può inviare al client un ticket SSL che include parametri di sessione SSL crittografati. Il client può utilizzare tale ticket nelle connessioni successive per riutilizzare la sessione. I ticket di sessione SSL sono abilitati sul lato client e disabilitati sul lato server.

Figura 1. Offload SSL
Diagramma di offload SSL.
Figura 2. SSL end-to-end
Diagramma di SSL end-to-end.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Servizi di rete > Bilanciamento del carico > Profili > Profilo SSL.
  3. Selezionare un Profilo SSL client e immettere i dettagli del profilo.
    Opzione Descrizione
    Nome e descrizione Immettere un nome e una descrizione per il profilo SSL client.
    Suite SSL Selezionare il gruppo Crittografia SSL dal menu a discesa per vedere popolati i protocolli di crittografia SSL e SSL disponibili da includere nel profilo SSL client.

    Il gruppo di crittografia SSL bilanciato è il valore predefinito.

    Memorizzazione della sessione nella cache Agire sul pulsante per consentire a client e server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la dispendiosa operazione di chiave pubblica durante un handshake SSL.
    Tag Immettere i tag per semplificare la ricerca.

    È possibile specificare un tag per impostare un ambito del tag.

    Crittografie SSL supportate In base alla suite SSL, in questa sezione vengono compilati i pacchetti di crittografia SSL supportati. Fare clic su Visualizza altro per mostrare l'elenco completo.

    Se si seleziona Personalizzata, è necessario selezionare la crittografia SSL dal menu a discesa.

    Protocolli SSL supportati In base alla suite SSL, in questa sezione vengono compilati i protocolli SSL supportati. Fare clic su Visualizza altro per mostrare l'elenco completo.

    Se si seleziona Personalizzata, è necessario selezionare la crittografia SSL dal menu a discesa.

    Timeout voce cache sessione Immettere il timeout della cache espresso in secondi per specificare per quanto tempo i parametri della sessione SSL devono essere mantenuti e possono essere riutilizzati.
    Preferisci crittografia server Agire sul pulsante in modo che il server possa selezionare la prima crittografia supportata dall'elenco utilizzabile.

    Durante un handshake SSL, il client invia al server un elenco ordinato di crittografie supportate.

  4. Selezionare un Profilo SSL server e immettere i dettagli del profilo.
    Opzione Descrizione
    Nome e descrizione Immettere un nome e una descrizione per il profilo SSL del server.
    Suite SSL Selezionare il gruppo Crittografia SSL dal menu a discesa per vedere popolati i protocolli di crittografia SSL e SSL disponibili da includere nel profilo SSL server.

    Il gruppo di crittografia SSL bilanciato è il valore predefinito.

    Memorizzazione della sessione nella cache Agire sul pulsante per consentire a client e server SSL di riutilizzare i parametri di sicurezza precedentemente negoziati evitando la dispendiosa operazione di chiave pubblica durante un handshake SSL.
    Tag Immettere i tag per semplificare la ricerca.

    È possibile specificare un tag per impostare un ambito del tag.

    Crittografie SSL supportate In base alla suite SSL, in questa sezione vengono compilati i pacchetti di crittografia SSL supportati. Fare clic su Visualizza altro per mostrare l'elenco completo.

    Se si seleziona Personalizzata, è necessario selezionare la crittografia SSL dal menu a discesa.

    Protocolli SSL supportati In base alla suite SSL, in questa sezione vengono compilati i protocolli SSL supportati. Fare clic su Visualizza altro per mostrare l'elenco completo.

    Se si seleziona Personalizzata, è necessario selezionare la crittografia SSL dal menu a discesa.

    Timeout voce cache sessione Immettere il timeout della cache espresso in secondi per specificare per quanto tempo i parametri della sessione SSL devono essere mantenuti e possono essere riutilizzati.
    Preferisci crittografia server Agire sul pulsante in modo che il server possa selezionare la prima crittografia supportata dall'elenco utilizzabile.

    Durante un handshake SSL, il client invia al server un elenco ordinato di crittografie supportate.