SSL プロファイルは、暗号リストなど、アプリケーションに依存しない SSL プロパティを構成し、それらのリストを複数のアプリケーション間で再利用します。ロード バランサがクライアントとサーバの両方として動作している場合は SSL プロパティが異なるため、クライアント側とサーバ側で異なる SSL プロファイルがサポートされます。

注: SSL プロファイルは NSX-T Data Center Limited Export Release ではサポートされていません。

クライアント側 SSL プロファイルは、SSL サーバとして動作し、クライアント SSL 接続を停止するロード バランサを参照します。サーバ側 SSL プロファイルは、クライアントとして動作し、サーバへの接続を確立するロード バランサを参照します。

暗号リストは、クライアント側 SSL プロファイルでも、サーバ側 SSL プロファイルでも指定できます。NSX Manager には、次のデフォルトの SSL プロファイルが付属しています。
  • default-balanced-client-ssl-profile
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile
  • default-high-security-server-ssl-profile
「default-balanced」の SSL プロファイルは、SSL プロトコルと暗号の組み合わせをサポートし、クライアント/サーバにパフォーマンスとセキュリティの完璧な組み合わせを提供します。「high-compatibility」の SSL プロファイルは、広範囲の SSL プロトコルと暗号をサポートし、最も幅広いクライアント/サーバへのアクセスを提供します。「high-security」の SSL プロファイルは、最もセキュリティの高い SSL プロトコルと暗号をサポートし、クライアント/サーバへの最も安全なアクセスを提供します。また、カスタム SSL プロファイルを作成することもできます。

SSL セッションのキャッシュを有効にすると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。デフォルトでは、SSL セッションのキャッシュはクライアント側とサーバ側の両方で無効になっています。

以前にネゴシエートされたセッション パラメータを SSL クライアントとサーバで再利用する別のメカニズムとしては、SSL セッション チケットがあります。SSL セッション チケットの場合、クライアントとサーバはハンドシェイクの交換中にお互いが SSL セッション チケットをサポートしているかどうかをネゴシエートします。チケットが両方でサポートされている場合、サーバはクライアントに SSL チケットを送信することができます。この SSL チケットには暗号化された SSL セッション パラメータが含まれています。クライアントは後続の接続でそのチケットを使用することによって、セッションを再利用します。SSL セッション チケットはクライアント側で有効になり、サーバ側では無効になります。

図 1. SSL オフロード
SSL オフロードの図
図 2. エンド ツーエンドの SSL
エンドツーエンドの SSL の図

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [ネットワーク] > [ロード バランシング] > [プロファイル] > [SSL プロファイル] を選択します。
  3. [クライアント SSL のプロファイル] を選択して、プロファイルの詳細を入力します。
    オプション 説明
    名前と説明 クライアント SSL プロファイルの名前と説明を入力します。
    SSL Suite ドロップダウン メニューから SSL 暗号グループを選択します。クライアント SSL プロファイルに含まれる SSL 暗号および SSL プロトコルが入力されます。

    デフォルトは、分散 SSL 暗号グループです。

    セッションのキャッシュ このボタンを切り替えると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。
    タグ タグを入力して検索しやすくします。

    タグを指定して、タグの範囲を設定できます。

    サポートされている SSL 暗号 SSL スイートに応じて、ユーザーが割り当てたサポート対象の SSL 暗号がここに入力されます。[詳細を表示] をクリックして、リスト全体を表示します。

    [カスタム] を選択した場合は、ドロップダウン メニューから [SSL 暗号] を選択する必要があります。

    サポートされている SSL プロトコル SSL スイートに応じて、ユーザーが割り当てたサポート対象の SSL プロトコルがここに入力されます。[詳細を表示] をクリックして、リスト全体を表示します。

    [カスタム] を選択した場合は、ドロップダウン メニューから [SSL 暗号] を選択する必要があります。

    セッション キャッシュ エントリのタイムアウト キャッシュのタイムアウトを秒単位で入力します。このキャッシュ期間が過ぎるまでは、SSL セッション パラメータを再利用できます。
    サーバの暗号を優先 切り替えボタンを使用して、サーバでサポートできる暗号のリストの中で最初にある暗号を使用するかどうかを指定します。

    SSL ハンドシェイクの際、クライアントは、サポートされている暗号の順序付きリストをサーバに送信します。

  4. [サーバ SSL のプロファイル] を選択して、プロファイルの詳細を入力します。
    オプション 説明
    名前と説明 サーバ SSL プロファイルの名前と説明を入力します。
    SSL Suite ドロップダウン メニューから SSL 暗号グループを選択します。サーバ SSL プロファイルに含めることができる SSL 暗号および SSL プロトコルが入力されています。

    デフォルトは、分散 SSL 暗号グループです。

    セッションのキャッシュ このボタンを切り替えると、以前にネゴシエートされたセキュリティ パラメータを SSL クライアントとサーバで再利用できるようになり、負荷の高いパブリック キー処理を SSL ハンドシェイク中に回避できるようになります。
    タグ タグを入力して検索しやすくします。

    タグを指定して、タグの範囲を設定できます。

    サポートされている SSL 暗号 SSL スイートに応じて、ユーザーが割り当てたサポート対象の SSL 暗号がここに入力されます。[詳細を表示] をクリックして、リスト全体を表示します。

    [カスタム] を選択した場合は、ドロップダウン メニューから [SSL 暗号] を選択する必要があります。

    サポートされている SSL プロトコル SSL スイートに応じて、ユーザーが割り当てたサポート対象の SSL プロトコルがここに入力されます。[詳細を表示] をクリックして、リスト全体を表示します。

    [カスタム] を選択した場合は、ドロップダウン メニューから [SSL 暗号] を選択する必要があります。

    セッション キャッシュ エントリのタイムアウト キャッシュのタイムアウトを秒単位で入力します。このキャッシュ期間が過ぎるまでは、SSL セッション パラメータを再利用できます。
    サーバの暗号を優先 切り替えボタンを使用して、サーバでサポートできる暗号のリストの中で最初にある暗号を使用するかどうかを指定します。

    SSL ハンドシェイクの際、クライアントは、サポートされている暗号の順序付きリストをサーバに送信します。