SSL 프로파일은 애플리케이션 독립적인 SSL 속성(예: 암호 목록)을 구성하고 이 목록을 여러 애플리케이션에 재사용합니다. SSL 속성은 로드 밸런서가 클라이언트로 작동할 때와 서버로 작동할 때가 다르기 때문에 클라이언트 측 SSL 프로파일과 서버 측 SSL 프로파일이 별도로 지원됩니다.
클라이언트 측 SSL 프로파일은 SSL 서버로 작동하면서 클라이언트 SSL 연결을 중지하는 로드 밸런서를 나타냅니다. 서버 측 SSL 프로파일은 클라이언트로 작동하면서 서버에 대한 연결을 설정하는 로드 밸런서를 나타냅니다.
- default-balanced-client-ssl-profile
- default-balanced-server-ssl-profile
- default-high-compatibility-client-ssl-profile
- default-high-compatibility-server-ssl-profile
- default-high-security-client-ssl-profile,
- default-high-security-server-ssl-profile.
NSX 4.1.x 버전의 경우 가상 서버가 default-balanced-client-ssl-profile 및 ECDSA 인증서로 구성된 경우 NSX Manager NSX LB 가상 서버와 통신할 수 있습니다. 밸런싱된 암호 그룹이 필요한 암호 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384를 지원하지 않기 때문에 가상 서버가 default-balanced-client-ssl-profile 및 RSA 인증서로 구성된 경우 NSX Manager는 NSX LB 가상 서버와 통신할 수 없습니다. 그 결과 NSX 4.1.x 이후에는 이러한 구성을 사용하는 NSX Manager 및 vIDM LB VIP 간의 통신이 끊어졌습니다. NSX 4.2부터 암호 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384가 NSX Manager와 vIDM용 로드 밸런서 가상 서버 간의 통신을 지원하기 위해 밸런싱된 높은 호환성의 클라이언트/서버 프로파일에도 추가됩니다. 이 새로운 추가 기능을 사용하면 NSX Manager와 vIDM LB VIP 간의 통신을 지원하기 위한 해결 방법으로 사용자 지정 프로파일을 생성하고 암호 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384를 추가할 필요가 없습니다.
SSL 세션 캐싱을 사용하면 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다. SSL 세션 캐싱은 클라이언트 측과 서버 측에서 모두에서 기본적으로 사용하지 않도록 설정됩니다.
SSL 세션 티켓은 SSL 클라이언트와 서버가 이전에 협상된 세션 매개 변수를 재사용할 수 있도록 하는 대체 메커니즘입니다. SSL 세션 티켓에서 클라이언트와 서버는 핸드셰이크를 교환하는 동안 SSL 세션 티켓을 지원하는지 여부를 협상합니다. 둘 다 지원하는 경우 서버는 암호화된 SSL 세션 매개 변수가 포함된 SSL 티켓을 클라이언트에 보낼 수 있습니다. 클라이언트는 후속 연결에서 해당 티켓을 사용하여 세션을 재사용할 수 있습니다. SSL 세션 티켓은 클라이언트 쪽에서 사용하도록 설정되고 서버 쪽에서 사용하지 않도록 설정됩니다.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 를 선택합니다.
- 클라이언트 SSL 프로파일을 선택하고 프로파일 세부 정보를 입력합니다.
옵션 설명 이름 및 설명 클라이언트 SSL 프로파일에 대한 설명과 이름을 입력합니다. SSL 집합 드롭다운 메뉴에서 SSL 암호 그룹을 선택하면 클라이언트 SSL 프로파일에 포함될 사용 가능한 SSL 암호와 SSL 프로토콜이 채워집니다. 균형 조정 SSL 암호 그룹이 기본값입니다.
세션 캐싱 버튼을 전환하여 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다. 태그 더 쉬운 검색을 위해 태그를 입력합니다. 태그를 지정하여 태그의 범위를 설정할 수 있습니다.
지원되는 SSL 암호 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 암호가 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다. 사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.
지원되는 SSL 프로토콜 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 프로토콜이 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다. 사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.
세션 캐시 항목 시간 초과 캐시 시간 초과를 초 단위로 입력하여 SSL 세션 매개 변수를 얼마나 오래 유지해야 하고 재사용할 수 있는지를 지정합니다. 기본 서버 암호 서버가 지원할 수 있는 목록에서 첫 번째로 지원되는 암호를 선택할 수 있도록 버튼을 전환합니다. SSL 핸드셰이크 중에 클라이언트는 지원되는 암호의 순서가 지정된 목록을 서버에 전송합니다.
- 서버 SSL 프로파일을 선택하고 프로파일 세부 정보를 입력합니다.
옵션 설명 이름 및 설명 서버 SSL 프로파일에 대한 설명과 이름을 입력합니다. SSL 집합 드롭다운 메뉴에서 SSL 암호 그룹을 선택하면 서버 SSL 프로파일에 포함될 사용 가능한 SSL 암호와 SSL 프로토콜이 채워집니다. 균형 조정 SSL 암호 그룹이 기본값입니다.
세션 캐싱 버튼을 전환하여 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다. 태그 더 쉬운 검색을 위해 태그를 입력합니다. 태그를 지정하여 태그의 범위를 설정할 수 있습니다.
지원되는 SSL 암호 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 암호가 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다. 사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.
지원되는 SSL 프로토콜 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 프로토콜이 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다. 사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.
세션 캐시 항목 시간 초과 캐시 시간 초과를 초 단위로 입력하여 SSL 세션 매개 변수를 얼마나 오래 유지해야 하고 재사용할 수 있는지를 지정합니다. 기본 서버 암호 서버가 지원할 수 있는 목록에서 첫 번째로 지원되는 암호를 선택할 수 있도록 버튼을 전환합니다. SSL 핸드셰이크 중에 클라이언트는 지원되는 암호의 순서가 지정된 목록을 서버에 전송합니다.