이제 TLS 검사 신뢰 체인에 신뢰할 수 있는 기본 제공 CA(인증 기관) 번들을 사용하여 IDS/IPS, URL 필터링, 맬웨어 및 세분화된 애플리케이션 ID와 같은 고급 보안 응용 사례를 지원할 수 있습니다.
게이트웨이 방화벽에 대한 TLS 검사 및 암호 해독을 위해 내장 CA 번들(default_trusted_public_ca_bundle
)을 내부적으로 사용할 수 있습니다.
외부 서비스의 경우 TLS 프록시에는 외부 서비스가 제공하는 인증서의 유효성을 검사하기 위해 신뢰할 수 있는 CA 번들이 구성되어야 합니다. 각 번들이 인증서 목록인 CA 번들을 하나 이상 사용하여 External_Decryption_Profile.trusted_ca_bundles를 구성할 수 있습니다. 하나 이상의 CA 번들을 구성해야 합니다. 일반적으로 외부 서비스는 Verisign 및 DigiCert와 같은 잘 알려진 CA를 사용합니다. 따라서 쉽게 구성할 수 있도록 NSX에는 운영 체제가 인기 있는 CA 인증서와 함께 미리 설치되는 방식과 유사하게 널리 사용되는 CA 인증서 목록이 포함된 기본 제공 default_trusted_public_ca_bundle이 포함됩니다. 이 번들을 업데이트하거나 자체 CA 번들을 생성한 후 대신 사용할 수 있습니다.
NSX에서 다음 작업을 수행할 수 있습니다. 신뢰할 수 있는 CA 번들은
을 선택하여 찾을 수 있습니다.
- 신뢰할 수 있는 기본 CA 번들을 사용하여 TLS 검사 및 암호 해독을 검증합니다.
- 모든 인증서 보기 버튼을 사용하여 기본 세부 정보 필터링을 포함하여 CA 번들에 있는 모든 인증서를 봅니다.
- 모든 인증서 보기 버튼을 사용하여 만료됨, 만료 예정, 유효, 사용된 및 사용되지 않은 CA 번들을 검색합니다.
- CA 번들 표시 이름을 편집하고 번들에서 인증서를 추가하거나 제거합니다.
- 다른 장치에 포함할 CA 번들을 내보냅니다.
- CA 번들 경로를 로컬로 복사합니다.
- CA 번들 가져오기 버튼을 사용하여 신뢰할 수 있는 새 CA 번들을 가져옵니다.