このトピックでは、内部復号アクション プロファイルを手動で構成する手順について説明します。
前提条件
- TLS 検査の設定に適切なユーザー ロールと権限がある。
- 内部サーバ証明書をインポートしているか、インポートする準備ができている。または、証明書の生成に関連する情報が用意できている。
手順
- 管理者権限で NSX Manager にログインします。
- を選択します。
- [復号アクション プロファイルの追加] > [内部復号] の順にクリックします。
- 新しいポリシーの名前を入力します。
- (オプション)プロファイル設定をバランシング済み(デフォルト)、高い信頼性、高度なセキュリティの中から選択します。または、[カスタム] を使用してサブ設定を変更します。
プロファイル設定 |
説明 |
復号失敗:バイパスしてログに記録またはブロックしてログに記録 |
mTLS(相互 TLS)または使用中の証明書の固定が原因で復号エラーが発生した場合の処理を設定します。[バイパスしてログに記録] を選択すると、NSX はこのドメインをキャッシュし、このドメインに対する以降の接続はすべてバイパスされます。 |
暗号の適用:透過的または適用 |
クライアントとサーバに最小および最大 TLS バージョンと暗号を設定します。[透過的] オプションを使用して、これをバイパスできます。 |
- (オプション)アイドル状態の接続のタイムアウトを変更します。これは、TCP 接続の確立後、サーバがアイドル状態を維持できる時間(秒単位)です。デフォルトは 5,400 秒です。このタイムアウトは、ゲートウェイ ファイアウォールのアイドル タイムアウト設定よりも低くしてください。
- [サーバ証明書とキー] セクションを展開し、1 つ以上の内部サーバ証明書を構成します。
- 証明書または CA 証明書をインポートします。自己署名証明書または CA 署名付き証明書のインポートを参照してください。
- 自己署名の証明書または自己署名の CA 証明書を生成します。
- 行の前にあるチェック ボックスをクリックして、既存のサーバ証明書を選択します。
- 行の最後にある [デフォルト] ラジオ ボタンをクリックして、既存のサーバ証明書をデフォルトにします。
SNI 拡張機能がクライアント Hello に存在しない場合、デフォルトのサーバ証明書がクライアントに提示されます。このオプションが構成されていない場合、TLS プロキシは クライアント Hello に SNI 拡張機能を含まない接続をインターセプトしません。SNI 拡張機能がクライアント Hello に存在しても、構成された証明書のリストに一致する証明書がない場合、TLS プロキシはこれらの接続をインターセプトしません。
クライアントが、これらの内部サービスのいずれかにアクセスすると、TLS プロキシはサーバ ドメインと Issued-to-field (CN) フィールドの一致に基づいて、選択された証明書を提示します。
複数のサーバ証明書が構成されている場合は、コモンネーム (CN) またはサブジェクトの別名 (SAN) で指定されたドメインがすべて必要になります。同じドメインに対して 2 つの証明書を構成することはできません。FQDN(www.vmware.com など)またはワイルドカード(*.vmware.com)のいずれかを使用します。ただし、特定の FQDN 証明書と重複するワイルドカード ドメインを持つ証明書は許可されます。このような場合は、クライアント Hello の SNI 拡張機能に基づいてクライアントに提示する証明書を選択するときに、ワイルドカード証明書よりも特定の証明書が優先されます。
- (オプション)デフォルトでは、サーバ証明書の検証はオプションで、デフォルトでは無効になっています。エンタープライズ所有のサービスの場合、これを構成する必要はありません。この検証を適用する場合は、[有効] に切り替えて、サーバ証明書の検証を有効にします。
- セクションを展開し、検証オプションを構成します。デフォルトの信頼されている CA バンドルと CRL を選択するか、これらをインポートします。
- [保存] をクリックします。
結果
これで、内部復号アクション プロファイルを使用して、Tier-1 ゲートウェイに TLS 検査ポリシーとルールを構成できるようになりました。
次のタスク
TLS 検査の内部復号ポリシーとルールを作成します。