SSL プロファイルは、暗号リストなど、アプリケーションに依存しない SSL プロパティを構成し、それらのリストを複数のアプリケーション間で再利用します。ロード バランサがクライアントとサーバの両方として動作している場合は SSL プロパティが異なるため、クライアント側とサーバ側で異なる SSL プロファイルがサポートされます。

注: SSL プロファイルは NSX-T Data Center Limited Export Release ではサポートされていません。

クライアント側 SSL プロファイルは、SSL サーバとして動作し、クライアント SSL 接続を終端するロード バランサを参照します。サーバ側 SSL プロファイルは、クライアントとして動作し、サーバへの接続を確立するロード バランサを参照します。

暗号リストは、クライアント側 SSL プロファイルでも、サーバ側 SSL プロファイルでも指定できます。

SSL セッションのキャッシュを有効にすると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。デフォルトでは、SSL セッションのキャッシュはクライアント側とサーバ側の両方で無効になっています。

以前にネゴシエートされたセッション パラメータを SSL クライアントとサーバで再利用する別のメカニズムとしては、SSL セッション チケットがあります。SSL セッション チケットの場合、クライアントとサーバはハンドシェイクの交換中にお互いが SSL セッション チケットをサポートしているかどうかをネゴシエートします。チケットが両方でサポートされている場合、サーバはクライアントに SSL チケットを送信することができます。この SSL チケットには暗号化された SSL セッション パラメータが含まれています。クライアントは後続の接続でそのチケットを使用することによって、セッションを再利用します。SSL セッション チケットはクライアント側で有効になり、サーバ側では無効になります。

図 1. SSL オフロード
図 2. エンド ツーエンドの SSL

前提条件

NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの設定を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [ネットワーク] > [ロード バランシング] > [プロファイル] > [SSL プロファイル] の順に選択します。
  3. クライアント SSL プロファイルを作成します。
    1. ドロップダウン メニューから [追加] > [クライアント側 SSL] の順に選択します。
    2. クライアント SSL プロファイルの名前と説明を入力します。
    3. クライアント SSL プロファイルに含める SSL 暗号を割り当てます。
      カスタムの SSL 暗号を作成することもできます。
    4. 矢印をクリックして [選択済み] セクションに暗号を移動します。
    5. [プロトコルとセッション] タブをクリックします。
    6. クライアント SSL プロファイルに含める SSL プロトコルを選択します。
      SSL プロトコル バージョン TLS1.1 と TLS1.2 はデフォルトで有効になっています。TLS1.0 もサポートされていますが、デフォルトでは無効になっています。
    7. 矢印をクリックして [選択済み] セクションにプロトコルを移動します。
    8. SSL プロトコルの詳細を設定します。
      SSL プロファイルのデフォルト設定をそのまま使用することもできます。
      オプション 説明
      セッションのキャッシュ SSL セッションのキャッシュを有効にすると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。
      セッション キャッシュ エントリのタイムアウト キャッシュのタイムアウトを秒単位で入力します。このキャッシュ期間が過ぎるまでは、SSL セッション パラメータを再利用できます。
      サーバの暗号を優先 切り替えボタンを使用して、サーバでサポートできる暗号のリストの中で最初にある暗号を使用するかどうかを指定します。

      SSL ハンドシェイクの際、クライアントは、サポートされている暗号の順序付きリストをサーバに送信します。

    9. [OK] をクリックします。
  4. サーバ SSL プロファイルを作成します。
    1. ドロップダウン メニューから [追加] > [サーバ側 SSL] の順に選択します。
    2. サーバ SSL プロファイルの名前と説明を入力します。
    3. サーバ SSL プロファイルに含める SSL 暗号を選択します。
      カスタムの SSL 暗号を作成することもできます。
    4. 矢印をクリックして [選択済み] セクションに暗号を移動します。
    5. [プロトコルとセッション] タブをクリックします。
    6. サーバ SSL プロファイルに含める SSL プロトコルを選択します。
      SSL プロトコル バージョン TLS1.1 と TLS1.2 はデフォルトで有効になっています。TLS1.0 もサポートされていますが、デフォルトでは無効になっています。
    7. 矢印をクリックして [選択済み] セクションにプロトコルを移動します。
    8. デフォルトのセッション キャッシュ設定をそのまま受け入れます。
      SSL セッションのキャッシュを有効にすると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。
    9. [OK] をクリックします。