SSL 프로파일은 애플리케이션 독립적인 SSL 속성(예: 암호 목록)을 구성하고 이 목록을 여러 애플리케이션에 재사용합니다. SSL 속성은 로드 밸런서가 클라이언트로 작동할 때와 서버로 작동할 때가 다르기 때문에 클라이언트 측 SSL 프로파일과 서버 측 SSL 프로파일이 별도로 지원됩니다.

참고: NSX Limited Export 릴리스에서는 SSL 프로파일이 지원되지 않습니다.

클라이언트 측 SSL 프로파일은 SSL 서버로 작동하면서 클라이언트 SSL 연결을 중지하는 로드 밸런서를 나타냅니다. 서버 측 SSL 프로파일은 클라이언트로 작동하면서 서버에 대한 연결을 설정하는 로드 밸런서를 나타냅니다.

클라이언트 측 SSL 프로파일 및 서버 측 SSL 프로파일 모두에 암호 목록을 지정할 수 있습니다. NSX Manager에는 다음과 같은 기본 SSL 프로파일이 함께 제공됩니다.
  • default-balanced-client-ssl-profile
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile,
  • default-high-security-server-ssl-profile.
"default-balanced" SSL 프로파일은 클라이언트/서버에 완벽한 성능과 보안을 제공하기 위해 SSL 프로토콜과 암호를 함께 지원합니다. "high-compatibility" SSL 프로파일은 광범위한 SSL 프로토콜 및 암호를 지원하여 가장 광범위한 클라이언트/서버에 액세스를 제공합니다. "high-security" SSL 프로파일은 가장 높은 보안 SSL 프로토콜 및 암호를 지원하여 클라이언트/서버에 가장 안전한 액세스를 제공합니다. 또한 사용자 지정 SSL 프로파일을 생성할 수 있습니다.

SSL 세션 캐싱을 사용하면 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다. SSL 세션 캐싱은 클라이언트 측과 서버 측에서 모두에서 기본적으로 사용하지 않도록 설정됩니다.

SSL 세션 티켓은 SSL 클라이언트와 서버가 이전에 협상된 세션 매개 변수를 재사용할 수 있도록 하는 대체 메커니즘입니다. SSL 세션 티켓에서 클라이언트와 서버는 핸드셰이크를 교환하는 동안 SSL 세션 티켓을 지원하는지 여부를 협상합니다. 둘 다 지원하는 경우 서버는 암호화된 SSL 세션 매개 변수가 포함된 SSL 티켓을 클라이언트에 보낼 수 있습니다. 클라이언트는 후속 연결에서 해당 티켓을 사용하여 세션을 재사용할 수 있습니다. SSL 세션 티켓은 클라이언트 쪽에서 사용하도록 설정되고 서버 쪽에서 사용하지 않도록 설정됩니다.

그림 1. SSL 오프로딩
SSL 오프로딩 다이어그램.
그림 2. 종단 간 SSL
종단 간 SSL 다이어그램

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 네트워킹 > 로드 밸런싱 > 프로파일 > SSL 프로파일를 선택합니다.
  3. 클라이언트 SSL 프로파일을 선택하고 프로파일 세부 정보를 입력합니다.
    옵션 설명
    이름 및 설명 클라이언트 SSL 프로파일에 대한 설명과 이름을 입력합니다.
    SSL 집합 드롭다운 메뉴에서 SSL 암호 그룹을 선택하면 클라이언트 SSL 프로파일에 포함될 사용 가능한 SSL 암호와 SSL 프로토콜이 채워집니다.

    균형 조정 SSL 암호 그룹이 기본값입니다.

    세션 캐싱 버튼을 전환하여 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다.
    태그 더 쉬운 검색을 위해 태그를 입력합니다.

    태그를 지정하여 태그의 범위를 설정할 수 있습니다.

    지원되는 SSL 암호 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 암호가 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다.

    사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.

    지원되는 SSL 프로토콜 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 프로토콜이 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다.

    사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.

    세션 캐시 항목 시간 초과 캐시 시간 초과를 초 단위로 입력하여 SSL 세션 매개 변수를 얼마나 오래 유지해야 하고 재사용할 수 있는지를 지정합니다.
    기본 서버 암호 서버가 지원할 수 있는 목록에서 첫 번째로 지원되는 암호를 선택할 수 있도록 버튼을 전환합니다.

    SSL 핸드셰이크 중에 클라이언트는 지원되는 암호의 순서가 지정된 목록을 서버에 전송합니다.

  4. 서버 SSL 프로파일을 선택하고 프로파일 세부 정보를 입력합니다.
    옵션 설명
    이름 및 설명 서버 SSL 프로파일에 대한 설명과 이름을 입력합니다.
    SSL 집합 드롭다운 메뉴에서 SSL 암호 그룹을 선택하면 서버 SSL 프로파일에 포함될 사용 가능한 SSL 암호와 SSL 프로토콜이 채워집니다.

    균형 조정 SSL 암호 그룹이 기본값입니다.

    세션 캐싱 버튼을 전환하여 SSL 클라이언트와 서버가 이전에 협상된 보안 매개 변수를 재사용할 수 있어 SSL 핸드셰이크 중에 비용이 높은 공용 키 작업을 방지할 수 있습니다.
    태그 더 쉬운 검색을 위해 태그를 입력합니다.

    태그를 지정하여 태그의 범위를 설정할 수 있습니다.

    지원되는 SSL 암호 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 암호가 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다.

    사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.

    지원되는 SSL 프로토콜 SSL 집합에 따라 사용자가 할당한 지원되는 SSL 프로토콜이 여기에 채워집니다. 더 보기를 클릭하여 전체 목록을 봅니다.

    사용자 지정을 선택한 경우 드롭다운 메뉴에서 SSL 암호를 선택해야 합니다.

    세션 캐시 항목 시간 초과 캐시 시간 초과를 초 단위로 입력하여 SSL 세션 매개 변수를 얼마나 오래 유지해야 하고 재사용할 수 있는지를 지정합니다.
    기본 서버 암호 서버가 지원할 수 있는 목록에서 첫 번째로 지원되는 암호를 선택할 수 있도록 버튼을 전환합니다.

    SSL 핸드셰이크 중에 클라이언트는 지원되는 암호의 순서가 지정된 목록을 서버에 전송합니다.