SSL プロファイルを作成または編集するには、次の手順を実行します。

  • [作成] をクリックして、ウィンドウを表示します(次に示すスクリーンショットを参照)。ここでは、 [TLS1.3] がオンになっていません。

  • [TLS 1.3] オプションをオンにすると、 [初期データ] オプションが表示されます。

  • [TLS 1.2] オプションをオンにすると、次の暗号が有効になります。

注:

System-Standard および System-Standard-PFS SSL プロファイルの両方にリストされているすべての暗号は、FIPS モードと非 FIPS モードの両方でサポートされます。FIPS スタックは TLS1.3 プロトコルをサポートしていないため、唯一の例外は 3DES および TLS1.3 暗号です。

ユーザー インターフェイスのフィールド

  • [SSL/TLS 名]:SSL/TLS プロファイルに一意の名前を指定します。

  • [タイプ]:プロファイルを仮想サービスに関連付ける場合は [アプリケーション] を選択します。プロファイルを Controller に関連付ける場合は [システム] を選択します。

  • [暗号]:暗号の選択は、デフォルトの [リスト] 表示でも [文字列] でもできます。[文字列] 表示は、OpenSSL 形式の暗号文字列と互換性があります。[文字列] 表示を使用している場合、NSX Advanced Load Balancer は SSL 評価も選択した暗号のスコアも提供しません。

  • [SSL 評価]:これは、リストから選択した暗号のセキュリティ、互換性、パフォーマンスを単にロールアップしたものです。暗号のパフォーマンスは優れているのに、セキュリティが非常に低い場合がよくあります。SSL 評価は、選択した暗号の結果に関する情報を提供しようとします。NSX Advanced Load Balancer ネットワークでは、新しい脆弱性が検出されると、特定の暗号のスコアが随時変更される可能性があります。これは既存の NSX Advanced Load Balancer の展開に影響を与えたり変更したりすることはありませんが、プロファイルのスコア、および仮想サービスのセキュリティ ペナルティが新しい情報を反映して変更される可能性があることを意味します。

  • [バージョン]NSX Advanced Load Balancer では、SSL 3.0、TLS 1.0 以降のバージョンをサポートします。古い SSL 2.0 プロトコルはサポートされなくなりました。TLS 1.3 プロトコルがサポートされています。ユーザーは、サポートされている 3 つの TLS 1.3 暗号のうち 1 つ以上を暗号リストで選択するか、[文字列] 表示の [暗号スイート] オプションで暗号を構成する必要があります。

  • [「close notify」アラートを送信]:SSL セッションのクローズをクライアントにグレースフルに通知します。これは、TCP が RST ではなく FIN/ACK を実行する場合に似ています。

  • [クライアント暗号の順序を優先]:デフォルトではオフです。クライアントの順序を優先する場合はオンに設定します。

  • [SSL セッションの再利用を有効化]:デフォルトではオンです。このオプションでは、クライアントの SSL セッションが TCP 接続間で最初に発生してから保持します。

  • [SSL セッションの有効期限]:SSL セッションが期限切れになるまでの時間を秒単位で設定します。

  • [暗号]:暗号をクライアントとネゴシエートする際、NSX Advanced Load Balancer では暗号の優先順序をリストに記載されているとおりにします。デフォルトの暗号リストでは、PFS を使用した楕円曲線が優先され、その後に安全性が低く、PFS 以外の暗号と低速な RSA ベースの暗号が続きます。リスト 表示を使用して暗号を有効、無効、および順序変更します。[文字列] 表示で、暗号文字列を手動で OpenSSL 形式(OpenSSl.org Web サイトに記載)によって入力します。SSL/TLS プロファイルは、RSA 証明書と楕円曲線証明書の両方で使用できます。これら 2 種類の証明書では異なるタイプの暗号を使用できるため、両方のタイプの証明書を使用できる場合は、両方のタイプの暗号をプロファイルに組み込むことが重要です。すべてのセキュリティと同様に、NSX Advanced Load Balancer ネットワークでは、セキュリティの動的な性質を理解し、NSX Advanced Load Balancer を常に最新の状態に保つように努力することを推奨しています。

  • [暗号スイート]:このオプションは TLS 1.3 プロトコル暗号のみを構成します。現在、NSX Advanced Load Balancer は以下をサポートしています。

    • TLS_AES_128_GCM_SHA256

    • TLS_AES_256_GCM_SHA384

    • TLS_CHACHA20_POLY1305_SHA256

注:

これらの暗号は TLS 1.3 プロトコルでのみ機能します。古い暗号スイートは、TLS 1.3 プロトコルでは使用できません。

  • [初期データ]:このオプションは、TLS v1.3 の終端となるアプリケーションから、TLS ハンドシェイクの完了を待つことなしにアプリケーション データ(ここでは初期データまたは 0-RTT データと呼びます)を送信できるようにするものです。これにより、クライアント要求を処理する前に、クライアントとサーバ間の完全なラウンドトリップ時間が 1 回節約されます。[初期データ] オプションを使用するには、[SSL セッションの再利用] を有効化する必要があります。

注:

NSX Advanced Load Balancer では、SSL プロファイルの暗号スイートで楕円曲線暗号 (ECC) の構成がサポートされています。