계층 7 가상 서버를 사용하면 로드 밸런서 지속성, 클라이언트 측 SSL 및 서버 측 SSL 프로파일을 선택적으로 구성할 수 있습니다.

참고: NSX-T Data Center Limited Export 릴리스에서는 SSL 프로파일이 지원되지 않습니다.

클라이언트 측 SSL 프로파일 바인딩이 서버 측 SSL 프로파일 바인딩이 아닌 가상 서버에 구성되면 가상 서버는 SSL 종료 모드에서 작동합니다. 여기에는 클라이언트에 대한 암호화된 연결과 서버에 대한 일반 텍스트 연결이 있습니다. 클라이언트 측 및 서버 측 SSL 프로파일 바인딩이 모두 구성되면 가상 서버는 SSL 프록시 모드에서 작동합니다. 여기에는 클라이언트와 서버 모두에 암호화된 연결이 있습니다.

클라이언트 측 SSL 프로파일 바인딩과 연결하지 않고 서버 측 SSL 프로파일 바인딩을 연결하는 것은 현재 지원되지 않습니다. 클라이언트 측 및 서버 측 SSL 프로파일 바인딩이 가상 서버와 연결되어 있지 않고 애플리케이션이 SSL 기반인 경우에는 가상 서버가 SSL 비 인식 모드로 작동합니다. 이런 경우 계층 4에 대해 가상 서버를 구성해야 합니다. 예를 들어, 가상 서버를 빠른 TCP 프로파일에 연결할 수 있습니다.

사전 요구 사항

계층 7 가상 서버를 사용할 수 있는지 확인합니다. 관리자 모드에서 계층 7 가상 서버 구성의 내용을 참조하십시오.

프로시저

  1. 계층 7 가상 서버를 엽니다.
  2. [로드 밸런싱 프로파일] 페이지로 건너뜁니다.
  3. [지속성] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
    지속성 프로파일을 사용하면 관련 클라이언트 연결을 동일한 서버로 보낼 수 있습니다.
  4. 소스 IP 지속성 또는 쿠키 지속성 프로파일을 선택합니다.
  5. 드롭다운 메뉴에서 기존 지속성 프로파일을 선택합니다.
  6. 다음을 클릭합니다.
  7. [클라이언트 측 SSL] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
    클라이언트 측 SSL 프로파일 바인딩을 사용하면 서로 다른 호스트 이름이 동일한 가상 서버에 연결될 수 있도록 여러 인증서가 허용됩니다.
    연결된 클라이언트 측 SSL 프로파일은 자동으로 채워집니다.
  8. 드롭다운 메뉴에서 기본 인증서를 선택합니다.
    이 인증서는 서버가 동일한 IP 주소에서 여러 호스트 이름을 호스팅하지 않거나 클라이언트가 SNI(서버 이름 표시) 확장을 지원하지 않는 경우 사용됩니다.
  9. 사용 가능한 SNI 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
  10. (선택 사항) [필수 클라이언트 인증]을 전환하여 이 메뉴 항목을 사용하도록 설정합니다.
  11. 사용 가능한 CA 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
  12. 인증서 체인 수준을 설정하여 서버 인증서 체인의 수준을 확인합니다.
  13. 사용 가능한 CRL을 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
    CRL은 손상된 서버 인증서를 허용하지 않도록 구성할 수 있습니다.
  14. 다음을 클릭합니다.
  15. [서버 측 SSL] 버튼을 전환하여 프로파일을 사용하도록 설정합니다.
    연결된 서버 측 SSL 프로파일은 자동으로 채워집니다.
  16. 드롭다운 메뉴에서 클라이언트 인증서를 선택합니다.
    클라이언트 인증서는 서버가 동일한 IP 주소에서 여러 호스트 이름을 호스팅하지 않거나 클라이언트가 SNI(서버 이름 표시) 확장을 지원하지 않는 경우 사용됩니다.
  17. 사용 가능한 SNI 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
  18. (선택 사항) [서버 인증]을 전환하여 이 메뉴 항목을 사용하도록 설정합니다.
    서버 측 SSL 프로파일 바인딩은 SSL 핸드셰이크 중에 로드 밸런서에 제공되는 서버 인증서의 유효성을 검사해야 할지 여부를 지정합니다. 유효성 검사를 사용하도록 설정된 경우, 자체 서명된 인증서가 동일한 서버 측 SSL 프로파일 바인딩에 지정되어 있는 신뢰할 수 있는 CA 중 하나가 서버 인증서에 서명해야 합니다.
  19. 사용 가능한 CA 인증서를 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
  20. 인증서 체인 수준을 설정하여 서버 인증서 체인의 수준을 확인합니다.
  21. 사용 가능한 CRL을 선택하고 화살표를 클릭하여 인증서를 [선택됨] 섹션으로 이동합니다.
    CRL은 손상된 서버 인증서를 허용하지 않도록 구성할 수 있습니다. OCSP 및 OCSP 스테이플링은 서버 측에서 지원되지 않습니다.
  22. 완료를 클릭합니다.