TLS 検査 の信頼チェーンに組み込みの信頼された認証局 (CA) バンドルを使用して、IDS/IPS、URL フィルタリング、マルウェア、きめ細かいアプリケーション ID などの高度なセキュリティ アプリケーションをサポートできるようになりました。

組み込みの CA バンドル default_trusted_public_ca_bundle を使用して、内部でゲートウェイ ファイアウォールの TLS 検査と復号を行うことができます。

外部サービスの場合、TLS プロキシは、外部サービスが提示する証明書を検証するために、信頼されている CA バンドルを構成する必要があります。各バンドルが証明書のリストに含まれている 1 つ以上の CA バンドルを使用して、External_Decryption_Profile.trusted_ca_bundles を構成できます。少なくとも 1 つの CA バンドルを構成する必要があります。通常、外部サービスは Verisign や DigiCert などの既知の CA を使用します。このため、簡単に構成できるように、NSX-T Data Center には default_trusted_public_ca_bundle が用意されています。これには、オペレーティング システムが一般的な CA 証明書と一緒に事前にインストールされているように、より広く使用されている CA 証明書のリストが含まれています。このバンドルを更新することも、独自の CA バンドルを作成して使用することもできます。

NSX-T Data Center で次の手順を実行します。 [システム] > [証明書] > [信頼されている CA バンドル] の順に選択すると、信頼されている CA バンドルを検索できます。
  • デフォルトの信頼されている CA バンドルを使用して、TLS 検査と復号を検証します。
  • [すべての証明書の表示] ボタンを使用して、基本的な詳細のフィルタリングを含む CA バンドル内のすべての証明書を表示します。
  • [すべての証明書の表示] ボタンを使用して、期限切れ、期限切れ間近、有効、使用済み、未使用の CA バンドルを検索します。
  • CA バンドルの表示名を編集して、バンドルに対して証明書の追加または削除を行います。
  • CA バンドルをエクスポートして、他のデバイスに含めます。
  • CA バンドル パスをローカルにコピーします。
  • [CA バンドルをインポート] ボタンを使用して、新しい信頼された CA バンドルをインポートします。