本主題提供手動設定外部解密動作設定檔的步驟。

必要條件

  • 具有設定 TLS 檢查的正確使用者角色和權限。
  • 匯入或備妥要匯入的受信任 Proxy CA 憑證和不受信任的 Proxy CA 憑證,或具備要產生憑證的相關資訊。

程序

  1. 使用 admin 權限登入 NSX Manager
  2. 導覽至安全性 > TLS 檢查 > 設定檔
  3. 按一下新增解密動作設定檔 > 外部解密
  4. 輸入新設定檔的名稱。
  5. (選用) 選取設定檔設定:平衡 (預設)、高逼真度、高安全性,或使用 [自訂] 來變更各項次要設定。
    設定檔設定 說明
    無效憑證:允許或封鎖和記錄 設定規則,以便在伺服器提供的憑證無效時允許或封鎖流量。如果選取 [允許],但伺服器提供的憑證已過期或不受信任,則此選項允許向用戶端傳送不受信任的 Proxy 憑證來繼續連線。
    解密失敗:略過和記錄或封鎖和記錄 設定若因 mTLS (相互 TLS) 或正在使用憑證關聯而導致解密失敗時要執行什麼動作。如果選取 [略過和記錄],則 NSX 會快取此網域,並略過該網域的所有後續連線。
    加密強制執行:透明或強制執行 為用戶端和伺服器設定最低和最高 TLS 版本和密碼套件。您可以使用 [透明] 選項來略過它
  6. (選用) 修改閒置連線逾時。這是建立 TCP 連線後伺服器可以保持閒置的時間 (秒數)。預設值為 5400 秒。將此逾時值保持小於閘道防火牆閒置逾時值設定。
  7. (選用) 選取 [受信任的 CA] 設定,以選取受信任的 CA 服務包、CRL 和 OCSP 裝訂選項。
    選項 敘述
    受信任的 CA 服務包 驗證外部服務向 NSX 提供的憑證。您可以使用預設的受信任 CA 服務包或匯入新的 CA 服務包,然後根據需要為每個設定檔選擇多個服務包。此服務包不會自動更新,因此您必須根據需要進行更新。如需更多詳細資料,請參閱匯入或更新受信任的 CA 服務包的〈憑證管理〉。
    CRL NSX 還包括一個 CRL (憑證撤銷清單),用於驗證伺服器提供的憑證。您可以使用預設 CRL 或匯入新的 CRL,然後根據需要為每個設定檔選擇多個 CRL。此 CRL 不會自動更新,因此您必須根據需要進行更新。如需更多詳細資料,請參閱匯入和擷取 CRL的〈憑證管理〉。
    需要 OCSP 裝訂 為提供的伺服器憑證強制執行 OSCP 裝訂。在 OCSP 裝訂中,擁有憑證的伺服器會詢問 OCSP 回應程式,並將所接收到附有時間戳記和簽署的 OCSP 回應與其憑證併在一起,作為 CertificateStatusRequest 副檔名。如果伺服器具有鏈結的憑證,則伺服器還必須為所有中繼 CA 憑證執行 OCSP 裝訂。
  8. 若要匯入或產生受信任或不受信任的 Proxy CA,請選取 [Proxy CA] 下拉式清單,選取受信任的 Proxy CA不受信任的 Proxy CA 索引標籤,然後執行下列其中一項:
    • 選取匯入 > CA 憑證
    • 選取產生 > 自我簽署 CA 憑證

      輸入所需的詳細資料,然後按一下 [儲存]。如需有關匯入 Proxy CA 的詳細資料,請參閱匯入憑證

  9. 若要儲存設定檔 (其隨後可用於 TLS 檢查原則),請選取儲存

結果

現在,您可以使用解密動作設定檔,在第 1 層閘道上設定外部解密規則。

下一步

建立 TLS 檢查外部解密原則和規則。