계층 7 가상 서버를 사용하면 로드 밸런서 지속성, 클라이언트 측 SSL 및 서버 측 SSL 프로파일을 선택적으로 구성할 수 있습니다.
참고:
NSX-T Data Center Limited Export 릴리스에서는 SSL 프로파일이 지원되지 않습니다.
클라이언트 측 SSL 프로파일 바인딩이 서버 측 SSL 프로파일 바인딩이 아닌 가상 서버에 구성되면 가상 서버는 SSL 종료 모드에서 작동합니다. 여기에는 클라이언트에 대한 암호화된 연결과 서버에 대한 일반 텍스트 연결이 있습니다. 클라이언트 측 및 서버 측 SSL 프로파일 바인딩이 모두 구성되면 가상 서버는 SSL 프록시 모드에서 작동합니다. 여기에는 클라이언트와 서버 모두에 암호화된 연결이 있습니다.
클라이언트 측 SSL 프로파일 바인딩과 연결하지 않고 서버 측 SSL 프로파일 바인딩을 연결하는 것은 현재 지원되지 않습니다. 클라이언트 측 및 서버 측 SSL 프로파일 바인딩이 가상 서버와 연결되어 있지 않고 애플리케이션이 SSL 기반인 경우에는 가상 서버가 SSL 비 인식 모드로 작동합니다. 이런 경우 계층 4에 대해 가상 서버를 구성해야 합니다. 예를 들어, 가상 서버를 Fast TCP 프로파일에 연결할 수 있습니다.
프로시저
- 계층 7 가상 서버를 엽니다.
- [로드 밸런싱 프로파일] 페이지로 건너뜁니다.
- [지속성] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
지속성 프로파일을 사용하면 관련 클라이언트 연결을 동일한 서버로 보낼 수 있습니다.
- 소스 IP 지속성 또는 쿠키 지속성 프로파일을 선택합니다.
- 드롭다운 메뉴에서 기존 지속성 프로파일을 선택합니다.
- 다음을 클릭합니다.
- [클라이언트 측 SSL] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
클라이언트 측 SSL 프로파일 바인딩을 사용하면 서로 다른 호스트 이름이 동일한 가상 서버에 연결될 수 있도록 여러 인증서가 허용됩니다.
연결된 클라이언트 측 SSL 프로파일은 자동으로 채워집니다.
- 드롭다운 메뉴에서 기본 인증서를 선택합니다.
이 인증서는 서버가 동일한 IP 주소에서 여러 호스트 이름을 호스팅하지 않거나 클라이언트가 SNI(서버 이름 표시) 확장을 지원하지 않는 경우 사용됩니다.
- 사용 가능한 SNI 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
- (선택 사항) [필수 클라이언트 인증]을 전환하여 이 메뉴 항목을 사용하도록 설정합니다.
- 사용 가능한 CA 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
- 인증서 체인 수준을 설정하여 서버 인증서 체인의 수준을 확인합니다.
- 사용 가능한 CRL을 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
CRL은 손상된 서버 인증서를 허용하지 않도록 구성할 수 있습니다.
- 다음을 클릭합니다.
- [서버 측 SSL] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
연결된 서버 측 SSL 프로파일은 자동으로 채워집니다.
- 드롭다운 메뉴에서 클라이언트 인증서를 선택합니다.
클라이언트 인증서는 서버가 동일한 IP 주소에서 여러 호스트 이름을 호스팅하지 않거나 클라이언트가 SNI(서버 이름 표시) 확장을 지원하지 않는 경우 사용됩니다.
- 사용 가능한 SNI 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
- (선택 사항) [서버 인증]을 전환하여 이 메뉴 항목을 사용하도록 설정합니다.
서버 측 SSL 프로파일 바인딩은 SSL 핸드셰이크 중에 로드 밸런서에 제공되는 서버 인증서의 유효성을 검사해야 할지 여부를 지정합니다. 유효성 검사를 사용하도록 설정된 경우, 자체 서명된 인증서가 동일한 서버 측 SSL 프로파일 바인딩에 지정되어 있는 신뢰할 수 있는 CA 중 하나가 서버 인증서에 서명해야 합니다.
- 사용 가능한 CA 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
- 인증서 체인 수준을 설정하여 서버 인증서 체인의 수준을 확인합니다.
- 사용 가능한 CRL을 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
CRL은 손상된 서버 인증서를 허용하지 않도록 구성할 수 있습니다. OCSP 및 OCSP 스테이플링은 서버 측에서 지원되지 않습니다.
- 완료를 클릭합니다.