NSX의 TLS 검사에 보안 인증서가 필요합니다. TLS 검사 및 기타 고급 보안 애플리케이션에 대한 트래픽을 가로채고, 암호를 해독하고, 암호화하려면 TLS 연결에 대해 투명한 프록시로 작동할 수 있도록 TLS 프록시를 준비해야 합니다. 애플리케이션 간에 신뢰를 설정하려면 NSX Manager에 이러한 인증서가 필요합니다.
- 기존 인증서를 가져오거나 자체 서명된 CSR 또는 CA 자체 서명된 CSR(인증서 서명 요청)을 새로 생성합니다.
- 기존 인증서를 내보냅니다.
- 신뢰할 수 있는 기본 CA 번들을 가져오거나 업데이트합니다.
- 기본 공용 CRL(인증서 해지 목록)을 가져오거나 업데이트합니다.
- 모든 미리 정의된 필터 옵션에 대한 고급 필터링
- [인증서] 페이지의 만료된 인증서 배너
- 유효하거나 유효하지 않은 인증서에 대한 색상으로 구분된 알림
이러한 옵션에 대한 내용은 인증서 항목을 참조하십시오.
TLS 프록시에는 프록시 CA라고도 하는 CA 인증서가 필요합니다. NSX Manager는 프록시 CA를 사용하여 가로챈 연결에서 끝점을 가장하는 인증서를 생성합니다. 즉, 웹 사이트 서버에서 가로챈 트래픽에 대해 인증서를 스푸핑하는 데 도움이 됩니다. 다음 두 가지 유형의 프록시 CA 인증서 중 하나를 선택할 수 있습니다.
- 자체 서명된 인증서는 일반적으로 테스트 또는 신뢰할 수 없는 제한된 배포에 사용됩니다. 이 워크플로는 CSR(인증서 서명 요청)을 사용하여 CA 인증서 키 쌍을 생성하기 위한 NSX Manager에 대한 요청으로 시작됩니다. 그런 다음, CSR을 자체 서명하도록 NSX Manager에 요청합니다.
- 엔터프라이즈 발급 CA는 신뢰할 수 있는 하위 CA 인증서에 서명합니다. 이 워크플로는 CSR과 함께 CA 인증서 키 쌍을 생성하고, CSR을 다운로드한 다음, CSR을 발급 CA에 제출하여 서명된 인증서를 수신하도록 하기 위한 NSX Manager에 대한 요청으로 시작됩니다. 그런 다음, 서명된 공용 CA 인증서를 NSX Manager에 업로드합니다. 업로드에는 인증서 체인이 포함될 수 있습니다. 인증서 체인은 새 인증서와 루트 CA 인증서 간의 중간 서명 인증서입니다.
새 CA 인증서를 NSX Manager에 업로드하는 방법에는 여러 가지가 있습니다. UI에서 TLS 마법사를 사용하거나, UI에서 인증서를 수동으로 추가하거나, NSX API를 사용합니다. 자세한 내용은 CA 인증서 가져오기 항목을 참조하십시오.
신뢰할 수 있는 CA 번들
설정 후 이러한 CA 인증서는 TLS 프록시를 실행하는 노드에 배포됩니다. 이름이 다른 여러 CA 인증서 번들을 업로드할 수 있습니다. TLS 프록시에서 사용하는 각 CA 번들은 암호 해독 작업 프로파일에 구성됩니다. 업로드 시 CA 번들은 PEM 인코딩된 인증서가 올바른 형식으로 연결되어 있는지 검증되고, 유효하지 않은 경우 저장되지 않습니다. 번들이 유효하지 않으면 API 오류 메시지를 반환합니다.
단일 번들은 크기가 1MB이고 인증서가 1,000개로 제한됩니다.
인증서 해지 목록
- PEM 인코딩 X.509 CRL - 최대 크기 40MB, 항목 500,000개
- Mozilla OneCRL - 최대 5MB 크기, 10,000개 항목
TLS 검사 인증서에 대한 경보 처리
프록시 CA 인증서를 유지 관리하지 않으며 만료될 예정이거나 만료되었거나 만료된 CA 인증서를 수신한 경우 NSX Manager는 경보를 사용하여 사용자에게 알립니다.
NSX는 CA 번들에서 만료될 예정이거나 만료된 인증서에 대해 동일한 경보 집합을 발생시킵니다.
잘못된 TLS 인증서로 인해 원격 로깅 서버 오류가 수신될 수도 있습니다. 로깅된 이벤트 오류는 Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.
입니다. 지정된 인증서가 유효한지 확인하려면 openssl 명령 openssl x509 -in <cert-file-path> -noout -dates
를 사용하십시오. TLS 검사 UI에서 인증서를 보고 업데이트할 수도 있습니다.
인증서 만료에 대한 자세한 내용은 인증서 만료에 대한 경보 알림 항목을 참조하십시오. NSX Manager의 TLS 관련 "인증서 이벤트"에 대한 자세한 내용은 이벤트 카탈로그를 참조하십시오.