本主題提供手動設定內部解密動作設定檔的步驟。

必要條件

  • 具有設定 TLS 檢查的正確使用者角色和權限。
  • 匯入或備妥要匯入的內部伺服器憑證,或具備要產生憑證的相關資訊。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取安全性 > TLS 檢查 > 設定檔
  3. 按一下新增解密動作設定檔 > 內部解密
  4. 輸入新原則的名稱。
  5. (選用) 選取設定檔設定:平衡 (預設)、高逼真度、高安全性,或使用 [自訂] 來變更各項次要設定。
    設定檔設定 說明
    解密失敗:略過和記錄或封鎖和記錄 設定若因 mTLS (相互 TLS) 或正在使用憑證關聯而導致解密失敗時要執行什麼動作。如果您選取 [略過和記錄],則 NSX 會快取此網域,並略過該網域的所有後續連線。
    加密強制執行:透明或強制執行 為用戶端和伺服器設定最低和最高 TLS 版本和密碼套件。您可以使用 [透明] 選項來略過它。
  6. (選用) 修改閒置連線逾時。這是建立 TCP 連線後伺服器可以保持閒置的時間 (秒數)。預設值為 5400 秒。將此逾時值保持小於閘道防火牆閒置逾時值設定。
  7. 展開伺服器憑證和金鑰區段,然後設定一或多個內部伺服器憑證。
    1. 匯入憑證或 CA 憑證。請參閱匯入自我簽署的憑證或 CA 簽署的憑證
    2. 產生自我簽署憑證或自我簽署 CA 憑證。
    3. 按一下列首的核取方塊,以選取現有的伺服器憑證。
    4. 按一下列尾的預設值選項按鈕,將現有伺服器憑證設為預設值。

    如果用戶端問詢中不存在 SNI 延伸,則會向用戶端提供預設伺服器憑證。如果未設定此選項,則 TLS Proxy 不會攔截用戶端問詢中不包含 SNI 延伸的連線。如果 SNI 延伸存在於用戶端問詢中,但在設定的憑證清單中沒有與之相符的憑證,則 TLS Proxy 不會攔截這些連線。

    當用戶端存取其中一個內部服務時,TLS Proxy 會根據伺服器網域的相符情形,將這個選取的憑證提供給 Issued-to-field (CN) 欄位。

    如果設定多個伺服器憑證,它們的網域必須不同,由 [一般名稱] (CN) 或 [主體替代名稱] (SAN) 指定。不能為同一個網域設定兩個憑證:FQDN (例如,www.vmware.com) 或萬用字元 (*.vmware.com)。但是,允許憑證中的萬用字元網域與特定 FQDN 憑證重疊。在這種情況下,當根據用戶端問詢中的 SNI 延伸來選取要提供給用戶端的憑證時,更具體的憑證將優於萬用字元憑證。

  8. (選用) 依預設,伺服器憑證驗證是選用的,依預設為停用。如果它是企業自有服務,則不需設定。如果您想要強制執行此驗證,請將 [伺服器憑證驗證] 切換至開啟
    1. 展開此區段並設定驗證選項。您可以選擇預設的受信任 CA 服務包和 CRL,或匯入它們。
    2. 按一下儲存

結果

現在,您可以使用內部解密動作設定檔在第 1 層閘道上設定 TLS 檢查原則和規則。

下一步

建立 TLS 檢查內部解密原則和規則。