NSX 4.2부터는 모든 NSX 구성 요소가 OpenSSL 3.0을 사용하여 통신합니다. 지원되지 않는 버전의 암호 그룹 또는 인증서로 구성된 NSX-V 구성 요소를 NSX로 마이그레이션할 수 없습니다.

지원되지 않는 인증서:
  • 키 크기가 1024인 인증서
  • SHA1, MD5
지원되지 않는 암호 그룹:
  • 3DES
  • ECDH
지원되지 않는 프로토콜:
  • SSL 3.0
  • TLS 1.0
  • TLS 1.1
NSX-V에서 로드 밸런서를 생성하려면 애플리케이션 프로파일을 구성해야 합니다. 애플리케이션 프로파일 유형이 [HTTPS 오프로드] 또는 [HTTPS 종단 간]인 경우 암호 그룹 및 인증서도 구성합니다. 암호 그룹 또는 인증서가 NSX에서 지원되지 않는 경우 마이그레이션 중에 다음 작업을 수행하라는 메시지가 표시됩니다.
  • 수락

    지원되지 않는 암호 그룹 및 인증서 구성은 건너뛰고 마이그레이션되지 않습니다. 마이그레이션이 진행됩니다.

  • 취소

    마이그레이션이 취소됩니다. 롤백을 수행하고, 문제를 해결하고, 마이그레이션을 다시 시작할 수 있습니다.

NSX-V에서 지원되지 않는 암호 그룹을 수정하는 방법

다음 단계에서는 지원되지 않는 암호 그룹의 문제를 해결하는 방법을 설명합니다.

  1. 마이그레이션 중에 NSX-V의 애플리케이션 프로파일이 지원되지 않는 암호 그룹으로 구성된 경우 문제를 나타내는 메시지가 표시됩니다. 예를 들면 다음과 같습니다.

    Instances 열에는 문제를 일으키는 애플리케이션 프로파일이 https_end2end_none_persist로 표시됩니다. 이 메시지를 클릭하면 지원되지 않는 암호가 있다고 표시됩니다. 예를 들면 다음과 같습니다.

    가상 서버에 지원되지 않는 속성이 있다는 메시지가 표시될 수도 있습니다. 예를 들면 다음과 같습니다.

    이 메시지를 클릭하면 가상 서버 https_vip1에 지원되지 않는 암호가 있다고 표시됩니다. 예를 들면 다음과 같습니다.

  2. 이 문제를 해결하려면 입력 수락 대화상자에서 취소를 클릭합니다. 그런 후 롤백을 클릭합니다.

  3. NSX-V 환경의 vCenter 이동하고 애플리케이션 프로파일 https_end2end_none_persist를 찾습니다. 예를 들면 다음과 같습니다.

  4. 애플리케이션 프로파일 https_end2end_none_persist를 편집합니다. 클라이언트 SSL 구성을 살펴봅니다. 암호 그룹은 지원되지 않습니다.

    서버 SSL 구성도 확인합니다. 이 예에서는 암호 그룹이 지원됩니다.

  5. 지원되는 암호 ECDHE-RSA-AES128-SHA를 클라이언트 SSL 프로파일에 추가하려는 경우 로드 밸런서 클라이언트 시스템에서 다음 명령을 실행합니다.
    #Find all supported ciphers
openssl ciphers -v
#Start SSL connection with specified cipher and SSL protocol
openssl s_client -connect <virtual-ip>:<port> -cipher ECDHE-RSA-AES128-SHA
  6. 클라이언트 SSL 구성을 편집하고 암호 그룹을 ECDHE-RSA-AES128-SHA로 설정합니다. 이 변경은 가상 서버 https_vip1이 애플리케이션 프로파일 https_end2end_none_persist를 사용하기 때문에 가상 서버 문제를 해결합니다. 이 변경 후 지원되지 않는 인증서 문제가 없는 경우 마이그레이션을 다시 시작할 수 있습니다. 인증서에 문제가 있는 경우 다음 섹션을 참조하십시오.

NSX-V에서 지원되지 않는 인증서를 수정하는 방법

다음 단계에서는 지원되지 않는 인증서 관련 문제를 해결하는 방법을 설명합니다.

  1. 마이그레이션 중에 NSX-V의 애플리케이션 프로파일이 지원되지 않는 인증서로 구성된 경우 문제를 나타내는 메시지가 표시됩니다. 예를 들면 다음과 같습니다.

    Instances 열에는 문제를 일으키는 애플리케이션 프로파일이 https_end2end_none_persist로 표시됩니다. 이 메시지를 클릭하면 certificate-1이 지원되지 않는다고 표시됩니다. 예를 들면 다음과 같습니다.

    가상 서버에 지원되지 않는 속성이 있다는 메시지가 표시될 수도 있습니다. 예를 들면 다음과 같습니다.

    이 메시지를 클릭하면 가상 서버 certificate-1이 지원되지 않는다고 표시됩니다. 예를 들면 다음과 같습니다.

  2. 이 문제를 해결하려면 입력 수락 대화상자에서 취소를 클릭합니다. 그런 후 롤백을 클릭합니다.

  3. NSX-V 환경의 vCenter 이동하고 애플리케이션 프로파일 https_end2end_none_persist를 찾습니다. 예를 들면 다음과 같습니다.

  4. 애플리케이션 프로파일 https_end2end_none_persist를 편집합니다. 클라이언트 SSL 구성을 살펴봅니다. certificate-1이 선택된 것으로 표시됩니다. 취소를 클릭합니다.

    서버 SSL 구성도 확인합니다. certificate-1이 선택된 것으로 표시됩니다. 취소를 클릭합니다.

  5. 구성 탭으로 이동합니다. 인증서를 클릭한 다음, 추가 > 인증서를 클릭합니다. 다음 예에서는 새 인증서가 My Firewall입니다.

    새 인증서를 지정합니다.

    새 인증서를 추가합니다.

  6. 새 인증서를 사용하도록 애플리케이션 프로파일 https_end2end_none_persist를 업데이트합니다. 클라이언트 SSL에 대해 이 작업을 수행합니다.

    서버 SSL에 대해서도 이 작업을 수행합니다.

    가상 서버는 애플리케이션 프로파일 https_end2end_none_persist를 사용합니다. 애플리케이션 프로파일이 해결되면 가상 서버 문제도 해결됩니다.

  7. 로드 밸런서 클라이언트가 서버 인증서 유효성 검사를 사용하도록 설정하는 경우 이 새 인증서를 확인하기 위한 올바른 CA 인증서가 포함되어 있는지 확인합니다. 로드 밸런서 풀 멤버가 클라이언트 인증서 유효성 검사를 사용하도록 설정하는 경우 새 인증서를 확인하기 위한 올바른 CA 인증서가 포함되어 있는지 확인합니다.