SSL 設定檔可設定獨立於應用程式的 SSL 內容,例如加密清單,並在多個應用程式之間重複使用這些清單。負載平衡器充當用戶端和伺服器時 SSL 內容會有所不同,因此,用戶端和伺服器端支援不同的 SSL 設定檔。

備註: NSX Limited Export 版本不支援 SSL 設定檔。

用戶端 SSL 設定檔是指充當 SSL 伺服器並停止用戶端 SSL 連線的負載平衡器。伺服器端 SSL 設定檔是指充當用戶端並建立與伺服器的連線的負載平衡器。

您可以同時在用戶端和伺服器端 SSL 設定檔上指定加密清單。NSX Manager 附帶以下預設 SSL 設定檔:
  • default-balanced-client-ssl-profile
  • default-balanced-server-ssl-profile
  • default-high-compatibility-client-ssl-profile
  • default-high-compatibility-server-ssl-profile
  • default-high-security-client-ssl-profile
  • default-high-security-server-ssl-profile
「balanced」SSL 設定檔支援混合使用 SSL 通訊協定和加密方式,可為用戶端/伺服器提供效能和安全性的完美平衡。「high-compatibility」SSL 設定檔支援大範圍的 SSL 通訊協定和加密方式,可提供對最廣泛的用戶端/伺服器的存取。「high-security」SSL 設定檔支援安全性最高的 SSL 通訊協定和加密方式,可提供對用戶端/伺服器最安全的存取。此外,還可以建立自訂 SSL 設定檔。

針對 NSX 4.1.x 版本,如果虛擬伺服器設定了 default-balanced-client-ssl-profile 和 ECDSA 憑證,則 NSX Manager 可以與 NSX LB 虛擬伺服器進行通訊。如果虛擬伺服器設定了 default-balanced-client-ssl-profile 和 RSA 憑證,則 NSX Manager 無法與 NSX LB 虛擬伺服器通訊,因為平衡密碼群組不支援所需的密碼 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384。因此,自 NSX 4.1.x 以來,NSX Manager 與具有此組態的 vIDM LB VIP 之間的通訊已經中斷。從 NSX 4.2 開始,密碼 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 也會新增到平衡和高相容性用戶端/伺服器設定檔中,以支援 NSX Manager 與 vIDM 負載平衡器虛擬伺服器之間的通訊。隨著此新增功能,您不再需要建立自訂設定檔並新增密碼 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 作為支援 NSX Manager 與 vIDM LB VIP 之間通訊的變通方法。

SSL 工作階段快取允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,避免了 SSL 信號交換期間昂貴的公開金鑰作業。依預設,用戶端和伺服器端已停用 SSL 工作階段快取。

SSL 工作階段票證是一種替代機制,允許 SSL 用戶端和伺服器重複使用先前交涉的工作階段參數。在 SSL 工作階段票證中,用戶端與伺服器交涉是否在信號交換期間支援 SSL 工作階段票證。如果同時支援,伺服器可以將包含已加密 SSL 工作階段參數的 SSL 票證傳送至用戶端。用戶端可以在後續連線中使用該票證以重複使用工作階段。SSL 工作階段票證在用戶端處於啟用狀態,在伺服器端處於停用狀態。

圖 1. SSL 卸載
SSL 卸載圖。
圖 2. 端對端 SSL
端對端 SSL 圖。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > 負載平衡 > 設定檔 > SSL 設定檔
  3. 選取用戶端 SSL 設定檔,然後輸入設定檔詳細資料。
    選項 說明
    名稱與說明 輸入用戶端 SSL 設定檔的名稱和說明。
    SSL 套件 從下拉式功能表中選取 SSL 加密方式群組,系統會填入要包含在用戶端 SSL 設定檔中的可用 SSL 加密方式和 SSL 通訊協定。

    預設是平衡的 SSL 加密方式群組。

    工作階段快取 切換按鈕,以允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,從而避免 SSL 信號交換期間昂貴的公開金鑰作業。
    標籤 輸入標籤使搜尋更輕鬆。

    您可以指定標籤,以設定標籤範圍。

    支援的 SSL 加密方式 根據 SSL 套件,此處會填入您所指派之支援的 SSL 加密方式。按一下檢視更多以檢視完整清單。

    如果您選取自訂,則您必須從下拉式功能表中選取 SSL 加密方式。

    支援的 SSL 通訊協定 根據 SSL 套件,此處會填入您所指派之支援的 SSL 通訊協定。按一下檢視更多以檢視完整清單。

    如果您選取自訂,則您必須從下拉式功能表中選取 SSL 加密方式。

    工作階段快取項目逾時 輸入快取逾時 (以秒為單位),以指定 SSL 工作階段參數必須保留並且可重複使用的時間。
    偏好的伺服器加密方式 切換按鈕,以便伺服器從可支援的清單中選取第一個支援的加密方式。

    在 SSL 信號交換期間,用戶端向伺服器傳送支援的加密方式排序清單。

  4. 選取伺服器 SSL 設定檔,然後輸入設定檔詳細資料。
    選項 說明
    名稱與說明 輸入伺服器 SSL 設定檔的名稱和說明。
    SSL 套件 從下拉式功能表中選取 SSL 加密方式群組,系統會填入要包含在伺服器 SSL 設定檔中的可用 SSL 加密方式和 SSL 通訊協定。

    預設是平衡的 SSL 加密方式群組。

    工作階段快取 切換按鈕,以允許 SSL 用戶端和伺服器重複使用先前交涉的安全性參數,從而避免 SSL 信號交換期間昂貴的公開金鑰作業。
    標籤 輸入標籤使搜尋更輕鬆。

    您可以指定標籤,以設定標籤範圍。

    支援的 SSL 加密方式 根據 SSL 套件,此處會填入您所指派之支援的 SSL 加密方式。按一下檢視更多以檢視完整清單。

    如果您選取自訂,則您必須從下拉式功能表中選取 SSL 加密方式。

    支援的 SSL 通訊協定 根據 SSL 套件,此處會填入您所指派之支援的 SSL 通訊協定。按一下檢視更多以檢視完整清單。

    如果您選取自訂,則您必須從下拉式功能表中選取 SSL 加密方式。

    工作階段快取項目逾時 輸入快取逾時 (以秒為單位),以指定 SSL 工作階段參數必須保留並且可重複使用的時間。
    偏好的伺服器加密方式 切換按鈕,以便伺服器從可支援的清單中選取第一個支援的加密方式。

    在 SSL 信號交換期間,用戶端向伺服器傳送支援的加密方式排序清單。