SSL 프로파일은 애플리케이션 독립적인 SSL 속성(예: 암호 목록)을 구성하고 이 목록을 여러 애플리케이션에 재사용합니다. SSL 속성은 로드 밸런서가 클라이언트로 작동할 때와 서버로 작동할 때가 다르기 때문에 클라이언트 측 SSL 프로파일과 서버 측 SSL 프로파일이 별도로 지원됩니다.

참고: NSX-T Data Center Limited Export 릴리스에서는 SSL 프로파일이 지원되지 않습니다.

클라이언트 측 SSL 프로파일은 SSL 서버로 작동하면서 클라이언트 SSL 연결을 종료하는 로드 밸런서를 나타냅니다. 서버 측 SSL 프로파일은 클라이언트로 작동하면서 서버에 대한 연결을 설정하는 로드 밸런서를 나타냅니다.

클라이언트 측 SSL 프로파일 및 서버 측 SSL 프로파일 모두에 암호 목록을 지정할 수 있습니다.

SSL 세션 캐싱을 사용하면 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다. SSL 세션 캐싱은 클라이언트 측과 서버 측에서 모두에서 기본적으로 사용하지 않도록 설정됩니다.

SSL 세션 티켓은 SSL 클라이언트와 서버가 이전에 협상된 세션 매개 변수를 재사용할 수 있도록 하는 대체 메커니즘입니다. SSL 세션 티켓에서 클라이언트와 서버는 핸드셰이크를 교환하는 동안 SSL 세션 티켓을 지원하는지 여부를 협상합니다. 둘 다 지원하는 경우 서버는 암호화된 SSL 세션 매개 변수가 포함된 SSL 티켓을 클라이언트에 보낼 수 있습니다. 클라이언트는 후속 연결에서 해당 티켓을 사용하여 세션을 재사용할 수 있습니다. SSL 세션 티켓은 클라이언트 쪽에서 사용하도록 설정되고 서버 쪽에서 사용하지 않도록 설정됩니다.

그림 1. SSL 오프로딩
그림 2. 종단 간 SSL

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://nsx-manager-ip-address)에 로그인합니다.
  2. 네트워킹 > 로드 밸런서 > 프로파일 > SSL 프로파일을 선택합니다.
  3. 클라이언트 SSL 프로파일을 생성합니다.
    1. 드롭다운 메뉴에서 추가 > 클라이언트 측 SSL을 선택합니다.
    2. 클라이언트 SSL 프로파일에 대한 설명과 이름을 입력합니다.
    3. 클라이언트 SSL 프로파일에 포함할 SSL 암호를 할당합니다.
      사용자 지정 SSL 암호를 생성할 수도 있습니다.
    4. 화살표를 클릭하여 암호를 [선택됨] 섹션으로 이동합니다.
    5. 프로토콜 및 세션 탭을 클릭합니다.
    6. 클라이언트 SSL 프로파일에 포함할 SSL 프로토콜을 선택합니다.
      SSL 프로토콜 버전 TLS1.1 및 TLS1.2는 기본적으로 사용하도록 설정됩니다. TLS1.0도 지원되지만 기본적으로 사용하지 않도록 설정됩니다.
    7. 화살표를 클릭하여 프로토콜을 [선택됨] 섹션으로 이동합니다.
    8. SSL 프로토콜 세부 정보를 모두 입력합니다.
      SSL 프로파일 설정 기본값을 수락할 수도 있습니다.
      옵션 설명
      세션 캐싱 SSL 세션 캐싱을 사용하면 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다.
      세션 캐시 항목 시간 초과 캐시 시간 초과를 초 단위로 입력하여 SSL 세션 매개 변수를 얼마나 오래 유지해야 하고 재사용할 수 있는지를 지정합니다.
      기본 서버 암호 서버가 지원할 수 있는 목록에서 첫 번째로 지원되는 암호를 선택할 수 있도록 버튼을 전환합니다.

      SSL 핸드셰이크 중에 클라이언트는 지원되는 암호의 순서가 지정된 목록을 서버에 전송합니다.

    9. 확인을 클릭합니다.
  4. 서버 SSL 프로파일을 생성합니다.
    1. 드롭다운 메뉴에서 추가 > 서버 측 SSL을 선택합니다.
    2. 서버 SSL 프로파일에 대한 설명과 이름을 입력합니다.
    3. 서버 SSL 프로파일에 포함할 SSL 암호를 선택합니다.
      사용자 지정 SSL 암호를 생성할 수도 있습니다.
    4. 화살표를 클릭하여 암호를 [선택됨] 섹션으로 이동합니다.
    5. 프로토콜 및 세션 탭을 클릭합니다.
    6. 서버 SSL 프로파일에 포함할 SSL 프로토콜을 선택합니다.
      SSL 프로토콜 버전 TLS1.1 및 TLS1.2는 기본적으로 사용하도록 설정됩니다. TLS1.0도 지원되지만 기본적으로 사용하지 않도록 설정됩니다.
    7. 화살표를 클릭하여 프로토콜을 [선택됨] 섹션으로 이동합니다.
    8. 세션 캐싱 설정 기본값을 수락합니다.
      SSL 세션 캐싱을 사용하면 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다.
    9. 확인을 클릭합니다.