本主題提供手動設定外部解密動作設定檔的步驟。
必要條件
- 具有設定 TLS 檢查的正確使用者角色和權限。
- 匯入或備妥要匯入的受信任 Proxy CA 憑證和不受信任的 Proxy CA 憑證,或具備要產生憑證的相關資訊。
程序
- 使用 admin 權限登入 NSX Manager。
- 導覽至。
- 按一下新增解密動作設定檔 > 外部解密。
- 輸入新設定檔的名稱。
- (選用) 選取設定檔設定:平衡 (預設)、高逼真度、高安全性,或使用 [自訂] 來變更各項次要設定。
| 設定檔設定 |
說明 |
| 無效憑證:允許或封鎖和記錄 |
設定規則,以便在伺服器提供的憑證無效時允許或封鎖流量。如果選取 [允許],但伺服器提供的憑證已過期或不受信任,則此選項允許向用戶端傳送不受信任的 Proxy 憑證來繼續連線。 |
| 解密失敗:略過和記錄或封鎖和記錄 |
設定若因 mTLS (相互 TLS) 或正在使用憑證關聯而導致解密失敗時要執行什麼動作。如果選取 [略過和記錄],則 NSX 會快取此網域,並略過該網域的所有後續連線。 |
| 加密強制執行:透明或強制執行 |
為用戶端和伺服器設定最低和最高 TLS 版本和密碼套件。您可以使用 [透明] 選項來略過它 |
- (選用) 修改閒置連線逾時。這是建立 TCP 連線後伺服器可以保持閒置的時間 (秒數)。預設值為 5400 秒。將此逾時值保持小於閘道防火牆閒置逾時值設定。
- (選用) 選取 [受信任的 CA] 設定,以選取受信任的 CA 服務包、CRL 和 OCSP 裝訂選項。
| 選項 |
敘述 |
| 受信任的 CA 服務包 |
驗證外部服務向 NSX 提供的憑證。您可以使用預設的受信任 CA 服務包或匯入新的 CA 服務包,然後根據需要為每個設定檔選擇多個服務包。此服務包不會自動更新,因此您必須根據需要進行更新。如需更多詳細資料,請參閱匯入或更新受信任的 CA 服務包的〈憑證管理〉。 |
| CRL |
NSX 還包括一個 CRL (憑證撤銷清單),用於驗證伺服器提供的憑證。您可以使用預設 CRL 或匯入新的 CRL,然後根據需要為每個設定檔選擇多個 CRL。此 CRL 不會自動更新,因此您必須根據需要進行更新。如需更多詳細資料,請參閱匯入和擷取 CRL的〈憑證管理〉。 |
| 需要 OCSP 裝訂 |
為提供的伺服器憑證強制執行 OSCP 裝訂。在 OCSP 裝訂中,擁有憑證的伺服器會詢問 OCSP 回應程式,並將所接收到附有時間戳記和簽署的 OCSP 回應與其憑證併在一起,作為 CertificateStatusRequest 副檔名。如果伺服器具有鏈結的憑證,則伺服器還必須為所有中繼 CA 憑證執行 OCSP 裝訂。 |
- 若要匯入或產生受信任或不受信任的 Proxy CA,請選取 [Proxy CA] 下拉式清單,選取受信任的 Proxy CA 或不受信任的 Proxy CA 索引標籤,然後執行下列其中一項:
- 若要儲存設定檔 (其隨後可用於 TLS 檢查原則),請選取儲存。
結果
現在,您可以使用解密動作設定檔,在第 1 層閘道上設定外部解密規則。
