對於第 7 層虛擬伺服器,您可以選擇性地設定負載平衡器持續性、用戶端 SSL 和伺服器端 SSL 設定檔。

備註: NSX-T Data Center 2.2 Limited Export 版本不支援 SSL 設定檔。

如果在虛擬伺服器上設定用戶端 SSL 設定檔繫結,而不是伺服器端 SSL 設定檔繫結,則虛擬伺服器會在 SSL 終止模式 (具有與用戶端的加密連線和與伺服器的純文字連線) 下運作。如果同時設定了用戶端和伺服器端 SSL 設定檔繫結,則虛擬伺服器會在 SSL Proxy 模式 (具有與用戶端和伺服器的加密連線) 下運作。

目前不支援在未關聯用戶端 SSL 設定檔繫結的情況下,關聯伺服器端 SSL 設定檔繫結。如果用戶端和伺服器端 SSL 設定檔繫結未與虛擬伺服器建立關聯,並且應用程式以 SSL 為基礎,則虛擬伺服器會在無法感知 SSL 的模式下運作。在此情況下,第 4 層必須設定虛擬伺服器。例如,虛擬伺服器可關聯至快速 TCP 設定檔。

必要條件

確認第 7 層虛擬伺服器可供使用。請參閱設定第 7 層虛擬伺服器

程序

  1. 開啟第 7 層虛擬伺服器。
  2. 請跳至 [負載平衡設定檔] 頁面。
  3. 切換 [持續性] 按鈕以啟用設定檔。
    持續性設定檔允許將相關用戶端連線傳送至相同的伺服器。
  4. 選取來源 IP 持續性或 Cookie 持續性設定檔。
  5. 從下拉式功能表中選取現有持續性設定檔。
  6. 下一步
  7. 切換 [用戶端 SSL] 按鈕以啟用設定檔。
    用戶端 SSL 設定檔繫結允許多個憑證,讓不同的主機名稱關聯至相同的虛擬伺服器。
    相關聯的用戶端 SSL 設定檔會自動填入。
  8. 從下拉式功能表中選取預設憑證。
    如果伺服器未主控相同 IP 位址上的多個主機名稱或用戶端不支援伺服器名稱指示 (SNI) 延伸,則會使用此憑證。
  9. 選取可用的 SNI 憑證,然後按一下箭頭將憑證移至 [已選取] 區段。
  10. (選擇性) 切換 [強制用戶端驗證] 以啟用此功能表項目。
  11. 選取可用的 CA 憑證,然後按一下箭頭將憑證移至 [已選取] 區段。
  12. 設定憑證鏈結深度,以驗證伺服器憑證鏈結的深度。
  13. 選取可用的 CRL,然後按一下箭頭將憑證移至 [已選取] 區段。
    CRL 可設定為禁止已損毀的伺服器憑證。
  14. 下一步
  15. 切換 [伺服器端 SSL] 按鈕以啟用設定檔。
    相關聯的伺服器端 SSL 設定檔會自動填入。
  16. 從下拉式功能表中選取用戶端憑證。
    如果伺服器未主控相同 IP 位址上的多個主機名稱或用戶端不支援伺服器名稱指示 (SNI) 延伸,則會使用用戶端憑證。
  17. 選取可用的 SNI 憑證,然後按一下箭頭將憑證移至 [已選取] 區段。
  18. (選擇性) 切換 [伺服器驗證] 以啟用此功能表項目。
    伺服器端 SSL 設定檔繫結會指定是否必須驗證在 SSL 信號交換期間提供給負載平衡器的伺服器憑證。啟用驗證後,伺服器憑證必須由自我簽署憑證在相同的伺服器端 SSL 設定檔繫結中指定的其中一個受信任的 CA 簽署。
  19. 選取可用的 CA 憑證,然後按一下箭頭將憑證移至 [已選取] 區段。
  20. 設定憑證鏈結深度,以驗證伺服器憑證鏈結的深度。
  21. 選取可用的 CRL,然後按一下箭頭將憑證移至 [已選取] 區段。
    CRL 可設定為禁止已損毀的伺服器憑證。伺服器端不支援 OCSP 和 OCSP 裝訂。
  22. 按一下完成