이 항목에서는 외부 암호 해독 작업 프로파일을 수동으로 구성하는 단계를 제공합니다.
사전 요구 사항
- TLS 검사를 설정하기 위한 올바른 사용자 역할 및 사용 권한이 있어야 합니다.
- 신뢰할 수 있는 프록시 CA 및 신뢰할 수 없는 프록시 CA 인증서를 가져오거나 가져올 준비를 갖추고 인증서를 생성하기 위한 관련 정보를 보유해야 합니다.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 로 이동합니다.
- 암호 해독 작업 프로파일 추가 > 외부 암호 해독을 클릭합니다.
- 새 프로파일의 이름을 입력합니다.
- (선택 사항) 프로파일 설정으로 [균형 조정](기본값), [고화질], [높은 보안]을 선택하거나 [사용자 지정]을 사용하여 하위 설정을 변경합니다.
프로파일 설정 |
설명 |
잘못된 인증서: [허용] 또는 [차단 및 로그] |
서버에서 잘못된 인증서를 제공할 때 트래픽을 허용하거나 차단하도록 규칙을 설정합니다. [허용]을 선택할 때 서버가 만료되었거나 신뢰할 수 없는 인증서를 제공하는 경우, 신뢰할 수 없는 프록시 인증서를 클라이언트로 전송하여 연결을 계속할 수 있습니다. |
암호 해독 실패: [바이패스 및 로그] 또는 [차단 및 로그] |
mTLS(상호 TLS) 또는 인증서 고정이 사용 중이기 때문에 암호 해독이 발생하는 경우 수행할 작업을 설정합니다. [바이패스 및 로그]를 선택한 경우 NSX에서 이 도메인을 캐시하며 도메인에 대한 모든 후속 연결은 무시됩니다. |
암호화 적용: [투명] 또는 [적용] |
클라이언트 및 서버에 대한 최소 및 최대 TLS 버전 및 암호 제품군을 설정합니다. [투명] 옵션을 사용하여 이를 바이패스할 수 있습니다. |
- (선택 사항) 유휴 연결 시간 초과를 수정합니다. TCP 연결을 설정한 후 서버가 유휴 상태를 유지할 수 있는 시간(초)입니다. 기본값은 5400초입니다. 이 시간 초과를 게이트웨이 방화벽 유휴 시간 초과 설정보다 낮게 유지합니다.
- (선택 사항) 신뢰할 수 있는 CA 설정을 선택하여 [신뢰할 수 있는 CA 번들], [CRL] 및 [OCSP 스테이플링] 옵션을 선택합니다.
옵션 |
설명 |
신뢰할 수 있는 CA 번들 |
외부 서비스가 NSX에 제공하는 인증서의 유효성을 검사합니다. 신뢰할 수 있는 기본 CA 번들을 사용하거나 새 CA 번들을 가져온 다음, 필요한 경우 프로파일별로 여러 번들을 선택할 수 있습니다. 이 번들은 자동으로 업데이트되지 않으므로 필요에 따라 업데이트해야 합니다. 자세한 내용은 인증서 관리에서 신뢰할 수 있는 CA 번들 가져오기 또는 업데이트를 참조하십시오. |
CRL |
NSX에는 서버에서 제공한 인증서의 유효성을 검사하기 위한 CRL(인증서 해지 목록)도 포함됩니다. 기본 CRL을 사용하거나 새 CRL을 가져온 다음, 필요한 경우 프로파일별로 여러 CRL을 선택할 수 있습니다. 이 CRL은 자동으로 업데이트되지 않으므로 필요에 따라 업데이트해야 합니다. 자세한 내용은 인증서 관리에서 CRL 가져오기 및 검색를 참조하십시오. |
OCSP 스테이플링 필요 |
제시된 서버 인증서에 OSCP 스테이플링을 적용하려면 OCSP 스테이플링에서 인증서를 소유하는 서버는 OCSP 응답자를 쿼리하고 수신된 OCSP 타임스탬프 및 서명된 응답을 해당 인증서와 함께 CertificateStatusRequest 확장으로 포함합니다. 서버에 체인 인증서가 있는 경우 서버는 모든 중간 CA 인증서에 대해서도 OCSP 스테이플링을 수행해야 합니다. |
- 신뢰할 수 있거나 신뢰할 수 없는 프록시 CA를 가져오거나 생성하려면 [프록시 CA] 드롭다운을 선택하고 신뢰할 수 있는 프록시 CA 또는 사용자 지정 프록시 CA 탭을 선택하고 다음 중 하나를 수행합니다.
- 프로파일을 저장하여 TLS 검사 정책에 사용할 수 있도록 하려면 저장을 선택합니다.
결과
이제 암호 해독 작업 프로파일을 사용하여 Tier-1 게이트웨이에서 외부 암호 해독 규칙을 설정할 수 있습니다.
다음에 수행할 작업
TLS 검사 외부 암호 해독 정책 및 규칙을 생성합니다.