NSX 上的 TLS 檢查需要安全性憑證。若要攔截、解密和加密 TLS 檢查及其他進階安全性應用程式的流量,您必須準備將 TLS Proxy 當作 TLS 連線的透明 Proxy。NSX Manager 需要這些憑證,才能在應用程式之間建立信任。

憑證管理支援下列 TLS 檢查選項。
  • 匯入現有憑證或產生新的自我簽署或 CA 自我簽署 CSR (憑證簽署要求)。
  • 匯出現有憑證。
  • 匯入或更新預設受信任的 CA 服務包。
  • 匯入或更新預設公用憑證撤銷清單 (CRL)。
  • 進階篩選所有預先定義的篩選器選項。
  • [憑證] 頁面上到期的憑證橫幅。
  • 有效或無效憑證的色彩編碼通知。

如需這些選項的相關資訊,請參閱憑證

TLS Proxy 需要 CA 憑證 (也稱為 Proxy CA)。NSX Manager 使用 Proxy CA 來產生憑證,以在攔截的連線中模擬端點。換句話說,這有助於對網站伺服器上攔截的流量偽裝憑證。有兩種 Proxy CA 憑證供您選擇:

若要產生憑證在攔截的連線中模擬端點,TLS Proxy 需要 CA 憑證 (也稱為 Proxy CA)。 NSX Manager 使用 Proxy CA。換句話說,這有助於偽裝。有兩種 Proxy CA 憑證供您選擇:
  • 自我簽署憑證通常用於不受信任的測試或有限部署。此工作流程首先向 NSX Manager 要求產生 CA 憑證金鑰配對及 CSR (憑證簽署要求)。接著向 NSX Manager 要求自我簽署 CSR。
  • 核發 CA 的企業簽署受信任的下層 CA 憑證。此工作流程首先向 NSX Manager 要求產生 CA 憑證金鑰配對及 CSR,下載 CSR,然後將 CSR 提交到核發 CA,進而接收簽署的憑證。接著,將簽署的公用 CA 憑證上傳至 NSX Manager。上傳時可以包含憑證鏈結。憑證鏈結是介於新憑證和 root CA 憑證之間的中繼簽署憑證。

有幾種方法可將新的 CA 憑證上傳至 NSX Manager:使用 UI 中的 TLS 精靈、在 UI 中手動新增憑證,或使用 NSX API。如需詳細資料,請參閱 匯入 CA 憑證

受信任的 CA 服務包

設定後,這些 CA 憑證會分發給執行 TLS Proxy 的節點。您可以上傳不同名稱的多個 CA 憑證服務包。TLS Proxy 使用的每個 CA 服務包都在解密動作設定檔中設定。上傳後,將驗證 CA 服務包是否為一連串正確格式的 PEM 編碼憑證,如果無效,則不會儲存。如果服務包無效,則會傳回 API 錯誤訊息。

單一服務包以 1 MB 大小和 1,000 個憑證為限。

憑證撤銷清單

為了確保所攔截連線的端點提供的憑證不被撤銷,您可以使用 TLS Proxy CRL:default_public_crl。您可以上傳新的 CRL 取代現有 CRL,以更新此物件。您可以將它用在原則設定檔中。若要將新的 CRL 上傳至 NSX Manager,請使用 UI 或 API。CRL 會分發給執行 TLS Proxy 的節點。上傳 CRL 後,API 會立即驗證 CRL,如果無效,則拒絕儲存。 NSX 支援兩種 CRL 格式:
  • PEM 編碼的 X.509 CRL - 大小上限為 40 MB,項目為 500,000 個
  • Mozilla OneCRL - 大小上限為 5 MB,項目為 10,000 個

TLS 檢查憑證的警示處理

如果您不維護 Proxy CA 憑證,而憑證即將到期或已到期,或您收到已到期的 CA 憑證,NSX Manager 會透過警示來通知您。

對於 CA 服務包中即將到期或已到期的憑證,NSX 會發出同一組警示。

您也可能由於 TLS 憑證無效而收到遠端記錄伺服器錯誤。記錄的事件錯誤是 Log messages to logging server {hostname_or_ip_address_with_port}({entity_id}) cannot be delivered possibly due to an unresolvable FQDN, an invalid TLS certificate or missing NSX appliance iptables rule.。若要驗證指定的憑證是否有效,請使用 openssl 命令 openssl x509 -in <cert-file-path> -noout -dates。您也可以在 TLS 檢查 UI 中檢視及更新憑證。

如需憑證到期的更多詳細資料,請參閱憑證到期的警示通知。如需 NSX Manager 中 TLS 特定的「憑證事件」的詳細資料,請參閱事件目錄