NSX-T Data CenterTLS 検査 にはセキュリティ証明書が必要です。TLS 検査 とその他の高度なセキュリティ アプリケーションのトラフィックをインターセプト、復号、暗号化するには、TLS 接続で透過的なプロキシとして機能するように TLS プロキシを準備する必要があります。NSX Manager では、これらの証明書を使用してアプリケーション間の信頼を確立する必要があります。

証明書管理は、 TLS 検査 で次のオプションをサポートします。
  • 既存の証明書をインポートするか、新しい自己署名証明書または CA 自己署名 CSR(証明書署名リクエスト)を生成します。
  • 既存の証明書をエクスポートします。
  • デフォルトの信頼されている CA バンドルをインポートまたは更新します。
  • デフォルトのパブリック証明書失効リスト (CRL) をインポートまたは更新します。
  • 事前定義のすべてのフィルタ オプションでの高度なフィルタリング。
  • [証明書] ページでの期限切れ証明書のバナー。
  • 有効な証明書と無効な証明書が色分けされた通知。

これらのオプションについては、証明書を参照してください。

TLS プロキシには、プロキシ CA とも呼ばれる CA 証明書が必要です。NSX Manager は、プロキシ CA を使用して、インターセプトされた接続でエンドポイントになりすますための証明書を生成します。つまり、Web サイト サーバでインターセプトされたトラフィックの証明書を偽装するのに役立ちます。次の 2 種類のプロキシ CA 証明書のいずれかを選択できます。

インターセプトされた接続でエンドポイントになりすますための証明書を生成するには、TLS プロキシに CA 証明書(プロキシ CA)が必要です。 NSX Manager はプロキシ CA を使用します。つまり、なりすましに役立ちます。次の 2 種類のプロキシ CA 証明書のいずれかを選択できます。
  • 通常、自己署名証明書は、テストまたは信頼されていない制限付きの展開に使用されます。このワークフローは、CSR(証明書署名リクエスト)を使用して CA 証明書キー ペアを生成するための NSX Manager への要求から始まります。次に、CSR の自己署名を NSX Manager に要求します。
  • CA を発行するエンタープライズは、信頼されている従属 CA 証明書に署名します。このワークフローは、NSX Manager への要求から開始します。CSR を使用して CA 証明書キー ペアを生成し、CSR をダウンロードして発行元の CA に CSR を送信します。これにより、署名付き証明書が受信されます。次に、署名付きのパブリック CA 証明書を NSX Manager にアップロードします。アップロードには証明書チェーンを含めることができます。証明書チェーンは、新しい証明書とルート CA 証明書の間の中間署名付き証明書です。

新しい CA 証明書を NSX Manager にアップロードするには、ユーザー インターフェイスで TLS ウィザードを使用する方法、ユーザー インターフェイスで証明書を手動で追加する方法、NSX API を使用する方法があります。詳細については、CA 証明書のインポートを参照してください。

信頼されている CA バンドル

設定後、これらの CA 証明書は TLS プロキシを実行しているノードに配布されます。異なる名前で複数の CA 証明書バンドルをアップロードできます。TLS プロキシによって使用される各 CA バンドルは、復号アクション プロファイルで構成されます。アップロード時に、CA バンドルは PEM でエンコードされた証明書の正しい連結として検証され、無効な場合は保存されません。バンドルが無効な場合は、API エラー メッセージが返されます。

1 つのバンドルのサイズは 1 MB、証明書は 1,000 個に制限されます。

証明書失効リスト

インターセプトされた接続のエンドポイントから提供される証明書が失効しないようにするには、TLS プロキシ CRL (default_public_crl) を使用します。新しい CRL をアップロードして既存の CRL を置き換えることで、このオブジェクトを更新できます。これは、ポリシー プロファイルで使用できます。新しい CRL を NSX Manager にアップロードするには、ユーザー インターフェイスまたは API を使用します。CRL は、TLS プロキシを実行しているノードに配布されます。API は、アップロード時に CRL を検証し、無効な場合は保存を拒否します。 NSX-T Data Center は、次の 2 つの CRL 形式をサポートしています。
  • PEM エンコード X.509 CRL - 最大サイズ 40 MB、エントリ数 500,000
  • Mozilla OneCRL - 最大サイズ 5 MB、エントリ数 10,000

TLS 検査 証明書のアラーム処理

プロキシ CA 証明書を維持せず、証明書の有効期限が近いか、有効期限を過ぎている場合、または期限切れの CA 証明書を受け取った場合、NSX Manager はアラームを使用して通知します。

NSX-T Data Center は、CA バンドルで期限切れまたは期限切れの近い証明書に対して同じアラームのセットを生成します。

TLS 証明書が無効なため、リモート ログ サーバ エラーが表示される場合もあります。ログに記録されるイベント エラーは Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule. です。指定した証明書が有効かどうか確認するには、openssl コマンド openssl x509 -in <cert-file-path> -noout -dates を使用します。TLS 検査 ユーザー インターフェイスで証明書を表示および更新することもできます。

証明書の有効期限の詳細については、証明書の有効期限に関するアラーム通知を参照してください。NSX Manager からの TLS 固有の証明書イベントの詳細については、https://docs.vmware.com/jp/VMware-NSX-Event-Catalog/index.htmlを参照してください。