TLS 検査 の信頼チェーンに組み込みの信頼された認証局 (CA) バンドルを使用して、IDS/IPS、URL フィルタリング、マルウェア、きめ細かいアプリケーション ID などの高度なセキュリティ アプリケーションをサポートできるようになりました。
組み込みの CA バンドル default_trusted_public_ca_bundle
を使用して、内部でゲートウェイ ファイアウォールの TLS 検査と復号を行うことができます。
外部サービスの場合、TLS プロキシは、外部サービスが提示する証明書を検証するために、信頼されている CA バンドルを構成する必要があります。各バンドルが証明書のリストに含まれている 1 つ以上の CA バンドルを使用して、External_Decryption_Profile.trusted_ca_bundles を構成できます。少なくとも 1 つの CA バンドルを構成する必要があります。通常、外部サービスは Verisign や DigiCert などの既知の CA を使用します。このため、簡単に構成できるように、NSX には default_trusted_public_ca_bundle が用意されています。これには、オペレーティング システムが一般的な CA 証明書と一緒に事前にインストールされているように、より広く使用されている CA 証明書のリストが含まれています。このバンドルを更新することも、独自の CA バンドルを作成して使用することもできます。
NSX で次の手順を実行します。
の順に選択すると、信頼されている CA バンドルを検索できます。
- デフォルトの信頼されている CA バンドルを使用して、TLS 検査と復号を検証します。
- [すべての証明書の表示] ボタンを使用して、基本的な詳細のフィルタリングを含む CA バンドル内のすべての証明書を表示します。
- [すべての証明書の表示] ボタンを使用して、期限切れ、期限切れ間近、有効、使用済み、未使用の CA バンドルを検索します。
- CA バンドルの表示名を編集して、バンドルに対して証明書の追加または削除を行います。
- CA バンドルをエクスポートして、他のデバイスに含めます。
- CA バンドル パスをローカルにコピーします。
- [CA バンドルをインポート] ボタンを使用して、新しい信頼された CA バンドルをインポートします。