本主題提供手動設定內部解密動作設定檔的步驟。
必要條件
- 具有設定 TLS 檢查的正確使用者角色和權限。
- 匯入或備妥要匯入的內部伺服器憑證,或具備要產生憑證的相關資訊。
程序
- 使用 admin 權限來登入 NSX Manager。
- 選取。
- 按一下新增解密動作設定檔 > 內部解密。
- 輸入新原則的名稱。
- (選用) 選取設定檔設定:平衡 (預設)、高逼真度、高安全性,或使用 [自訂] 來變更各項次要設定。
設定檔設定 |
說明 |
解密失敗:略過和記錄或封鎖和記錄 |
設定若因 mTLS (相互 TLS) 或正在使用憑證關聯而導致解密失敗時要執行什麼動作。如果您選取 [略過和記錄],則 NSX 會快取此網域,並略過該網域的所有後續連線。 |
加密強制執行:透明或強制執行 |
為用戶端和伺服器設定最低和最高 TLS 版本和密碼套件。您可以使用 [透明] 選項來略過它。 |
- (選用) 修改閒置連線逾時。這是建立 TCP 連線後伺服器可以保持閒置的時間 (秒數)。預設值為 5400 秒。將此逾時值保持小於閘道防火牆閒置逾時值設定。
- 展開伺服器憑證和金鑰區段,然後設定一或多個內部伺服器憑證。
- 匯入憑證或 CA 憑證。請參閱匯入自我簽署的憑證或 CA 簽署的憑證。
- 產生自我簽署憑證或自我簽署 CA 憑證。
- 按一下列首的核取方塊,以選取現有的伺服器憑證。
- 按一下列尾的預設值選項按鈕,將現有伺服器憑證設為預設值。
如果用戶端問詢中不存在 SNI 延伸,則會向用戶端提供預設伺服器憑證。如果未設定此選項,則 TLS Proxy 不會攔截用戶端問詢中不包含 SNI 延伸的連線。如果 SNI 延伸存在於用戶端問詢中,但在設定的憑證清單中沒有與之相符的憑證,則 TLS Proxy 不會攔截這些連線。
當用戶端存取其中一個內部服務時,TLS Proxy 會根據伺服器網域的相符情形,將這個選取的憑證提供給 Issued-to-field (CN) 欄位。
如果設定多個伺服器憑證,它們的網域必須不同,由 [一般名稱] (CN) 或 [主體替代名稱] (SAN) 指定。不能為同一個網域設定兩個憑證:FQDN (例如,www.vmware.com) 或萬用字元 (*.vmware.com)。但是,允許憑證中的萬用字元網域與特定 FQDN 憑證重疊。在這種情況下,當根據用戶端問詢中的 SNI 延伸來選取要提供給用戶端的憑證時,更具體的憑證將優於萬用字元憑證。
- (選用) 依預設,伺服器憑證驗證是選用的,依預設為停用。如果它是企業自有服務,則不需設定。如果您想要強制執行此驗證,請將 [伺服器憑證驗證] 切換至開啟。
- 展開此區段並設定驗證選項。您可以選擇預設的受信任 CA 服務包和 CRL,或匯入它們。
- 按一下儲存。
結果
現在,您可以使用內部解密動作設定檔在第 1 層閘道上設定 TLS 檢查原則和規則。