이 항목에서는 내부 암호 해독 작업 프로파일을 수동으로 구성하는 단계를 제공합니다.

사전 요구 사항

  • TLS 검사를 설정하기 위한 올바른 사용자 역할 및 사용 권한이 있어야 합니다.
  • 내부 서버 인증서를 가져오거나 가져올 준비를 갖추고, 인증서를 생성하기 위한 관련 정보를 보유해야 합니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 보안 > TLS 검사 > 프로파일을 선택합니다.
  3. 암호 해독 작업 프로파일 추가 > 내부 암호 해독을 클릭합니다.
  4. 새 정책의 이름을 입력합니다.
  5. (선택 사항) 프로파일 설정으로 [균형 조정](기본값), [고화질], [높은 보안]을 선택하거나 [사용자 지정]을 사용하여 하위 설정을 변경합니다.
    프로파일 설정 설명
    암호 해독 실패: [바이패스 및 로그] 또는 [차단 및 로그] mTLS(상호 TLS) 또는 인증서 고정이 사용 중이기 때문에 암호 해독이 발생하는 경우 수행할 작업을 설정합니다. [바이패스 및 로그]를 선택한 경우 NSX에서 이 도메인을 캐시하며 도메인에 대한 모든 후속 연결은 무시됩니다.
    암호화 적용: [투명] 또는 [적용] 클라이언트 및 서버에 대한 최소 및 최대 TLS 버전 및 암호 제품군을 설정합니다. [투명] 옵션을 사용하여 이를 바이패스할 수 있습니다.
  6. (선택 사항) 유휴 연결 시간 초과를 수정합니다. TCP 연결을 설정한 후 서버가 유휴 상태를 유지할 수 있는 시간(초)입니다. 기본값은 5400초입니다. 이 시간 초과를 게이트웨이 방화벽 유휴 시간 초과 설정보다 낮게 유지합니다.
  7. 서버 인증서 및 키 섹션을 확장하고 하나 이상의 내부 서버 인증서를 구성합니다.
    1. 인증서 또는 CA 인증서를 가져옵니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 항목을 참조하십시오.
    2. 자체 서명된 인증서 또는 자체 서명된 CA 인증서를 생성합니다.
    3. 행 앞의 확인란을 클릭하여 기존 서버 인증서를 선택합니다.
    4. 행 끝에 있는 기본값 라디오 버튼을 클릭하여 기존 서버 인증서를 기본값으로 설정합니다.

    client hello에 SNI 확장이 없으면 클라이언트에 기본 서버 인증서가 제공됩니다. 이 옵션이 구성되지 않은 경우 TLS 프록시는 client hello에 SNI 확장이 포함되지 않은 연결을 가로채지 않습니다. SNI 확장이 client hello에 있지만 구성된 인증서 목록에 일치하는 인증서가 없는 경우 TLS 프록시가 이러한 연결을 가로채지 않습니다.

    클라이언트가 이러한 내부 서비스 중 하나에 액세스하면 TLS 프록시는 발급 대상 필드(CN)와 일치하는 서버 도메인을 기준으로 선택한 인증서를 제공합니다.

    둘 이상의 서버 인증서가 구성된 경우 모두 CN(일반 이름) 또는 SAN(주체 대체 이름)으로 지정된 서로 다른 도메인을 가져야 합니다. FQDN(예: www.vmware.com) 또는 와일드카드(*.vmware.com)와 같은 도메인에 대해 두 개의 인증서를 구성할 수 없습니다. 그러나 특정 FQDN 인증서와 겹치는 와일드카드 도메인이 있는 인증서는 허용됩니다. 이러한 경우, client hello의 SNI 확장을 기준으로 클라이언트에 제시할 인증서를 선택하는 동안 와일드카드 인증서보다 더 구체적인 인증서가 선호됩니다.

  8. (선택 사항) 기본적으로 서버 인증서 검증은 선택 사항이며 기본적으로 사용하지 않도록 설정됩니다. 엔터프라이즈 소유 서비스인 경우에는 구성할 필요가 없습니다. 이 유효성 검사를 적용하려면 서버 인증서 검증을 켜기로 전환합니다.
    1. 섹션을 확장하고 검증 옵션을 구성합니다. 신뢰할 수 있는 기본 CA 번들 및 CRL을 선택하거나 가져올 수 있습니다.
    2. 저장을 클릭합니다.

결과

이제 내부 암호 해독 작업 프로파일을 사용하여 Tier-1 게이트웨이에서 TLS 검사 정책 및 규칙을 구성할 수 있습니다.

다음에 수행할 작업

TLS 검사 내부 암호 해독 정책 및 규칙을 생성합니다.