このトピックでは、外部復号アクション プロファイルを手動で構成する手順について説明します。
前提条件
- TLS 検査の設定に適切なユーザー ロールと権限がある。
- 信頼されているプロキシ CA 証明書と信頼されていないプロキシ CA 証明書をインポートしているか、インポートする準備ができている。または、証明書の生成に関連する情報が用意できている。
手順
- 管理者権限で、NSX Manager にログインします。
- の順に移動します。
- [復号アクション プロファイルの追加] > [外部復号] の順にクリックします。
- 新しいプロファイルの名前を入力します。
- (オプション)プロファイル設定をバランシング済み(デフォルト)、高い信頼性、高度なセキュリティの中から選択します。または、[カスタム] を使用してサブ設定を変更します。
| プロファイル設定 |
説明 |
| 無効な証明書:許可またはブロックしてログに記録 |
サーバから無効な証明書が提示された場合にトラフィックを許可またはブロックするルールを設定します。[許可] が選択され、サーバから期限切れの証明書または信頼されていない証明書が提示された場合、信頼されていないプロキシ証明書をクライアントに送信して接続を続行できます。 |
| 復号失敗:バイパスしてログに記録またはブロックしてログに記録 |
mTLS(相互 TLS)または使用中の証明書の固定が原因で復号エラーが発生した場合の処理を設定します。[バイパスしてログに記録] を選択すると、NSX はこのドメインをキャッシュし、このドメインに対する以降の接続はすべてバイパスされます。 |
| 暗号の適用:透過的または適用 |
クライアントとサーバに最小および最大 TLS バージョンと暗号を設定します。[透過的] オプションを使用して、これをバイパスできます。 |
- (オプション)アイドル状態の接続のタイムアウトを変更します。これは、TCP 接続の確立後、サーバがアイドル状態を維持できる時間(秒単位)です。デフォルトは 5,400 秒です。このタイムアウトは、ゲートウェイ ファイアウォールのアイドル タイムアウト設定よりも低くしてください。
- (オプション)信頼されている CA の設定を選択して、信頼されている CA バンドル、CRL、OCSP Stapling オプションを選択します。
| オプション |
説明 |
| 信頼されている CA バンドル |
外部サービスが NSX に提示する証明書を検証します。デフォルトの信頼されている CA バンドルを使用するか、新しい CA バンドルをインポートしてから、必要に応じてプロファイルごとに複数のバンドルを選択します。このバンドルは自動的には更新されません。必要に応じて更新する必要があります。詳細については、「証明書の管理」の信頼されている CA バンドルのインポートまたは更新を参照してください。 |
| CRL |
また、NSX には CRL(証明書失効リスト)もあり、サーバから提示された証明書を検証する際に使用できます。デフォルトの CRL を使用するか、新しい CRL をインポートしてから、必要に応じてプロファイルごとに複数の CRL を選択します。この CRL は自動的には更新されません。必要に応じて更新する必要があります。詳細については、「証明書の管理」のCRL のインポートと取得を参照してください。 |
| OCSP Stapling が必要 |
提示されたサーバ証明書に OSCP Stapling を適用します。OCSP stapling では、証明書を所有するサーバが OCSP レスポンダにクエリを実行し、CertificateStatusRequest 拡張機能として受信した OCSP タイムスタンプと署名の付いた応答を証明書とともに含めます。サーバにチェーン証明書がある場合、サーバはすべての中間 CA 証明書に対しても OCSP Stapling を実行する必要があります。 |
- 信頼されているプロキシ CA または信頼されていないプロキシ CA をインポートあるいは生成するには、[プロキシ CA] ドロップダウンを選択し、[信頼されているプロキシ CA] または [信頼されていないプロキシ CA] タブを選択して、次のいずれかを行います。
- プロファイルを保存して TLS 検査ポリシーで使用できるようにするには、[保存] を選択します。
結果
これで、復号アクション プロファイルを使用して、Tier-1 ゲートウェイに外部復号ルールを設定できるようになりました。
次のタスク
TLS 検査の外部復号ポリシーとルールを作成します。
