NSX-T Data Center 上的 TLS 檢查需要安全性憑證。若要攔截、解密和加密 TLS 檢查及其他進階安全性應用程式的流量,您必須準備將 TLS Proxy 當作 TLS 連線的透明 Proxy。NSX Manager 需要這些憑證,才能在應用程式之間建立信任。
- 匯入現有憑證或產生新的自我簽署或 CA 自我簽署 CSR (憑證簽署要求)。
- 匯出現有憑證。
- 匯入或更新預設受信任的 CA 服務包。
- 匯入或更新預設公用憑證撤銷清單 (CRL)。
- 進階篩選所有預先定義的篩選器選項。
- [憑證] 頁面上到期的憑證橫幅。
- 有效或無效憑證的色彩編碼通知。
如需這些選項的相關資訊,請參閱憑證。
TLS Proxy 需要 CA 憑證 (也稱為 Proxy CA)。NSX Manager 使用 Proxy CA 來產生憑證,以在攔截的連線中模擬端點。換句話說,這有助於對網站伺服器上攔截的流量偽裝憑證。有兩種 Proxy CA 憑證供您選擇:
- 自我簽署憑證通常用於不受信任的測試或有限部署。此工作流程首先向 NSX Manager 要求產生 CA 憑證金鑰配對及 CSR (憑證簽署要求)。接著向 NSX Manager 要求自我簽署 CSR。
- 核發 CA 的企業簽署受信任的下層 CA 憑證。此工作流程首先向 NSX Manager 要求產生 CA 憑證金鑰配對及 CSR,下載 CSR,然後將 CSR 提交到核發 CA,進而接收簽署的憑證。接著,將簽署的公用 CA 憑證上傳至 NSX Manager。上傳時可以包含憑證鏈結。憑證鏈結是介於新憑證和 root CA 憑證之間的中繼簽署憑證。
有幾種方法可將新的 CA 憑證上傳至 NSX Manager:使用 UI 中的 TLS 精靈、在 UI 中手動新增憑證,或使用 NSX API。如需詳細資料,請參閱匯入 CA 憑證。
受信任的 CA 服務包
設定後,這些 CA 憑證會分發給執行 TLS Proxy 的節點。您可以上傳不同名稱的多個 CA 憑證服務包。TLS Proxy 使用的每個 CA 服務包都在解密動作設定檔中設定。上傳後,將驗證 CA 服務包是否為一連串正確格式的 PEM 編碼憑證,如果無效,則不會儲存。如果服務包無效,則會傳回 API 錯誤訊息。
單一服務包以 1 MB 大小和 1,000 個憑證為限。
憑證撤銷清單
- PEM 編碼的 X.509 CRL - 大小上限為 40 MB,項目為 500,000 個
- Mozilla OneCRL - 大小上限為 5 MB,項目為 10,000 個
TLS 檢查憑證的警示處理
如果您不維護 Proxy CA 憑證,而憑證即將到期或已到期,或您收到已到期的 CA 憑證,NSX Manager 會透過警示來通知您。
對於 CA 服務包中即將到期或已到期的憑證,NSX-T Data Center 會發出同一組警示。
您也可能由於 TLS 憑證無效而收到遠端記錄伺服器錯誤。記錄的事件錯誤是 Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.。若要驗證指定的憑證是否有效,請使用 openssl 命令 openssl x509 -in <cert-file-path> -noout -dates。您也可以在 TLS 檢查 UI 中檢視及更新憑證。
如需憑證到期的更多詳細資料,請參閱憑證到期的警示通知。如需 NSX Manager 中 TLS 特定「憑證事件」的詳細資料,請參閱https://docs.vmware.com/tw/VMware-NSX-Event-Catalog/index.html。
