SSL 設定檔可設定獨立於應用程式的 SSL 內容,例如加密清單,並在多個應用程式之間重複使用這些清單。負載平衡器充當用戶端和伺服器時 SSL 內容會有所不同,因此,用戶端和伺服器端支援不同的 SSL 設定檔。

備註: NSX-T Data Center Limited Export 版本不支援 SSL 設定檔。

用戶端 SSL 設定檔是指充當 SSL 伺服器並終止用戶端 SSL 連線的負載平衡器。伺服器端 SSL 設定檔是指充當用戶端並建立與伺服器的連線的負載平衡器。

您可以同時在用戶端和伺服器端 SSL 設定檔上指定加密清單。

SSL 工作階段快取允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,避免了 SSL 信號交換期間昂貴的公開金鑰作業。依預設,用戶端和伺服器端已停用 SSL 工作階段快取。

SSL 工作階段票證是一種替代機制,允許 SSL 用戶端和伺服器重複使用先前交涉的工作階段參數。在 SSL 工作階段票證中,用戶端與伺服器交涉是否在信號交換期間支援 SSL 工作階段票證。如果同時支援,伺服器可以將包含已加密 SSL 工作階段參數的 SSL 票證傳送至用戶端。用戶端可以在後續連線中使用該票證以重複使用工作階段。SSL 工作階段票證在用戶端處於啟用狀態,在伺服器端處於停用狀態。

圖 1. SSL 卸載
圖 2. 端對端 SSL

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 選取網路 > 負載平衡器 > 設定檔 > SSL 設定檔
  3. 建立用戶端 SSL 設定檔。
    1. 從下拉式功能表中選取新增 > 用戶端 SSL
    2. 輸入用戶端 SSL 設定檔的名稱和說明。
    3. 指派要包含在用戶端 SSL 設定檔中的 SSL 加密方式。
      您也可以建立自訂的 SSL 加密方式。
    4. 按一下箭頭,將加密方式移至 [已選取] 區段。
    5. 按一下通訊協定和工作階段索引標籤。
    6. 選取要包含在用戶端 SSL 設定檔中的 SSL 通訊協定。
      依預設,會啟用 SSL 通訊協定版本 TLS1.1 和 TLS1.2。TLS1.0 亦受到支援,但預設為停用。
    7. 按一下箭頭,將通訊協定移至 [已選取] 區段。
    8. 完成 SSL 通訊協定詳細資料。
      也可以接受預設的 SSL 設定檔設定。
      選項 說明
      工作階段快取 SSL 工作階段快取允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,避免了 SSL 信號交換期間昂貴的公開金鑰作業。
      工作階段快取項目逾時 輸入快取逾時 (以秒為單位),以指定 SSL 工作階段參數必須保留並且可重複使用的時間。
      偏好的伺服器加密方式 切換按鈕,以便伺服器從可支援的清單中選取第一個支援的加密方式。

      在 SSL 信號交換期間,用戶端向伺服器傳送支援的加密方式排序清單。

    9. 按一下確定
  4. 建立伺服器 SSL 設定檔。
    1. 從下拉式功能表中選取新增 > 伺服器端 SSL
    2. 輸入伺服器 SSL 設定檔的名稱和說明。
    3. 選取要包含在伺服器 SSL 設定檔中的 SSL 加密方式。
      您也可以建立自訂的 SSL 加密方式。
    4. 按一下箭頭,將加密方式移至 [已選取] 區段。
    5. 按一下通訊協定和工作階段索引標籤。
    6. 選取要包含在伺服器 SSL 設定檔中的 SSL 通訊協定。
      依預設,會啟用 SSL 通訊協定版本 TLS1.1 和 TLS1.2。TLS1.0 亦受到支援,但預設為停用。
    7. 按一下箭頭,將通訊協定移至 [已選取] 區段。
    8. 接受預設的工作階段快取設定。
      SSL 工作階段快取允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,避免了 SSL 信號交換期間昂貴的公開金鑰作業。
    9. 按一下確定