現在,您可以對 TLS 檢查信任鏈結使用內建的受信任的憑證授權機構 (CA) 服務包,以支援進階安全性應用程式,如 IDS/IPS、URL 篩選、惡意程式碼和細微的應用程式識別碼。
您可以在內部將內建的 CA 服務包 (default_trusted_public_ca_bundle
) 用於閘道防火牆的 TLS 檢查和解密。
對於外部服務,TLS Proxy 需要設定的受信任的 CA 服務包來驗證任何外部服務向其提供的憑證。您可以為 External_Decryption_Profile.trusted_ca_bundles 設定一或多個 CA 服務包,其中每個服務包都是一系列的憑證清單。您必須至少設定一個 CA 服務包。通常,外部服務會使用已知的 CA,例如 Verisign 和 DigiCert。因此,為了便於設定,NSX 會加入內建的 default_trusted_public_ca_bundle,其中包含一系列廣泛使用的 CA 憑證,類似於作業系統預先安裝常用的 CA 憑證。您可以更新此服務包,也可以建立自己的 CA 服務包,並用它來代替此服務包。
您可以在
NSX 執行下列工作。您可以選取
來尋找受信任的 CA 服務包。
- 使用預設受信任的 CA 服務包驗證 TLS 檢查和解密。
- 使用檢視所有憑證按鈕可檢視 CA 服務包中的所有憑證,包括篩選基本詳細資料。
- 使用檢視所有憑證按鈕可搜尋已過期、即將過期、有效、已使用和未使用的 CA 服務包。
- 編輯 CA 服務包顯示名稱,並在服務包中新增或移除憑證。
- 匯出 CA 服務包以加入到其他裝置上。
- 在本機複製 CA 服務包路徑。
- 使用匯入 CA 服務包按鈕,匯入新的受信任 CA 服務包。