O software NSX Data Center for vSphere no ambiente VMware Cloud Director fornece a capacidade de usar certificados SSL (Secure Sockets Layer) com os túneis de VPN-Plus SSL e VPN IPsec que você configura para seus gateways de borda.

Os edge gateways no seu ambiente VMware Cloud Director oferecem suporte para certificados autoassinados, certificados assinados por uma autoridade de certificação (CA) e certificados gerados e assinados por uma CA. Você pode gerar solicitações de assinatura de certificado (CSRs), importar os certificados, gerenciar os certificados importados e criar listas de certificados revogados (CRLs).

Sobre o uso de certificados com seu centro de dados virtual de organização

Você pode gerenciar certificados para as seguintes áreas de rede no data center virtual de organização do VMware Cloud Director.

  • Túneis de VPN IPsec entre uma rede de data center virtual de organização e uma rede remota.
  • Conexões SSL VPN-Plus entre usuários remotos com redes privadas e recursos da Web no seu data center virtual de organização.
  • Um túnel VPN L2 entre dois edge gateways do NSX Data Center for vSphere.
  • Os servidores virtuais e servidores de pools configurados para balanceamento de carga no data center virtual da organização

Como usar certificados de cliente

Você pode criar um certificado de cliente por meio de um comando CAI ou de uma chamada REST. Em seguida, pode distribuir esse certificado aos seus usuários remotos, que podem instalar o certificado em seus navegadores da Web.

O principal benefício de implementar certificados de cliente é que um certificado de cliente de referência para cada usuário remoto pode ser armazenado e verificado em relação ao certificado de cliente apresentado pelo usuário remoto. Para evitar conexões futuras de um determinado usuário, você pode excluir o certificado de referência da lista de certificados de cliente do servidor seguro. Excluir o certificado nega as conexões desse usuário.

Gerar uma solicitação de assinatura de certificado para um edge gateway

Para solicitar um certificado assinado de uma autoridade de certificação ou criar um certificado autoassinado, você deve gerar uma solicitação de assinatura de certificado (CSR) para o seu edge gateway.

Uma CSR é um arquivo codificado que você precisa gerar em um gateway do NSX Edge que requer um certificado SSL. Usar uma CSR padroniza a maneira como as empresas enviam suas chaves públicas junto com informações que identificam seus nomes de empresa e nomes de domínio.

Você gera uma CSR com um arquivo de chave privada correspondente que deve permanecer no edge gateway. A CSR contém a chave pública correspondente e outras informações, como o nome, o local e o nome de domínio da sua organização.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Na guia Certificados, clique em CSR.
  4. Configure as seguintes opções para a CSR:
    Opção Descrição
    Nome Comum Insira o nome de domínio totalmente qualificado (FQDN) da organização para a qual você usará o certificado (por exemplo, www.example.com).

    Não inclua os prefixos http:// ou https:// no seu nome comum.

    Unidade Organizacional Use esse campo para diferenciar as divisões na sua organização VMware Cloud Director com a qual esse certificado está associado. Por exemplo, Engenharia ou Vendas.
    Nome da Organização Insira o nome sob o qual sua empresa está legalmente registrada.

    A organização listada deve ser o inscrito legal do nome do domínio na solicitação de certificado.

    Localidade Insira a cidade ou localidade na qual sua empresa está legalmente registrada.
    Nome do Estado ou Província Insira o nome completo (não use abreviação) do estado, da província, da região ou do território no qual sua empresa está legalmente registrada.
    Código do País Insira o nome do país no qual sua empresa está legalmente registrada.
    Algoritmo de Private Key Insira o tipo de chave, RSA ou DSA, para o certificado.

    A RSA normalmente é usada. O tipo de chave define o algoritmo de criptografia para a comunicação entre os hosts. Quando o modo FIPS está ativo, os tamanhos de chaves RSA devem ser superiores ou iguais a 2048 bits.

    Observação: O SSL VPN-Plus só é compatível com certificados RSA.
    Tamanho da Chave Insira o tamanho da chave em bits.

    O mínimo é de 2048 bits.

    Descrição (Opcional) Insira uma descrição para o certificado.
  5. Clique em Manter.
    O sistema gera a CSR e adiciona uma nova entrada com o tipo CSR à lista na tela.

Resultados

Na lista na tela, quando você seleciona uma entrada com o tipo CSR, os detalhes da CSR são exibidos na tela. Você pode copiar os dados exibidos com formatação PEM da CSR e enviá-los a uma autoridade de certificação (CA) para obter um certificado assinado por essa CA.

O que Fazer Depois

Use a CSR para criar um certificado de serviço usando uma destas duas opções:

Importar o certificado assinado pela autoridade de certificação correspondente à CSR gerada para um edge gateway

Depois de gerar uma Solicitação de Assinatura de Certificado (CSR) e obter o certificado assinado pela autoridade de certificação com base nessa CSR, você pode importar o certificado assinado pela CA para uso pelo edge gateway.

Pré-requisitos

Verifique se você obteve o certificado assinado pela autoridade de certificação que corresponde à CSR. Se a chave privada no certificado assinado pela CA não corresponder àquela da CSR selecionada, o processo de importação falhará.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Selecione a CSR na tabela na tela para a qual você está importando o certificado assinado pela CA.
  4. Importe o certificado assinado.
    1. Clique em Certificado assinado gerado para CSR.
    2. Forneça os dados do PEM do certificado assinado pela CA.
      • Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
      • Se você puder copiar e colar os dados do PEM, cole-os no campo Certificado Assinado (formato PEM).

        Inclua as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

    3. (Opcional) Digite uma descrição.
    4. Clique em Manter.
      Observação: Se a chave privada no certificado assinado pela CA não corresponder à da CSR selecionada na tela Certificados, o processo de importação falhará.

Resultados

O certificado assinado pela CA com o tipo Certificado de Serviço é exibido na lista na tela.

O que Fazer Depois

Anexe o certificado assinado pela CA aos túneis de SSL VPN-Plus ou VPN IPsec conforme necessário. Consulte Definir configurações do servidor VPN SSL e Especificar configurações de VPN IPsec globais.

Configurar um certificado de serviço autoassinado

Você pode configurar certificados de serviço autoassinados com seus edge gateways do para usar em seus recursos relacionados à VPN. Você pode criar, instalar e gerenciar certificados autoassinados.

Se o certificado de serviço estiver disponível na tela certificados, você poderá especificar esse certificado de serviço ao definir as configurações relacionadas à VPN do edge gateway. A VPN apresenta o certificado de serviço especificado para os clientes que acessam a VPN.

Pré-requisitos

Verifique se pelo menos um CSR está disponível na tela Certificados para o edge gateway. Consulte Gerar uma solicitação de assinatura de certificado para um edge gateway.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Selecione o CSR na lista que você deseja usar para esse certificado autoassinado e clique em Autoassinar CSR.
  4. Digite o número de dias pelos quais o certificado autoassinado é válido.
  5. Clique em Manter.
    O sistema gera o certificado autoassinado e adiciona uma nova entrada com o tipo Certificado de Serviço à lista na tela.

Resultados

O certificado autoassinado está disponível no edge gateway. Na lista na tela, quando você seleciona uma entrada com o tipo de certificado de serviço, seus detalhes são exibidos na tela.

Adicionar um certificado de CA ao Edge Gateway para verificação de confiança do certificado SSL

Adicionar um certificado de CA a um edge gateway permite a verificação de confiança dos certificados SSL que são apresentados ao edge gateway para autenticação, normalmente os certificados de cliente usados em conexões VPN com o edge gateway.

Você normalmente adiciona o certificado raiz de sua empresa ou organização como um certificado de CA. Um uso típico é para a VPN SSL, onde você deseja autenticar clientes VPN usando certificados. Os certificados de cliente podem ser distribuídos para os clientes VPN. Quando os clientes VPN se conectam, seus certificados de cliente são validados com base no certificado de CA.

Observação: Ao adicionar um certificado de CA, você normalmente configura uma Lista de Revogação de Certificados (CRL) relevante. A CRL protege os clientes que apresentam certificados revogados. Consulte Adicionar uma Lista de Revogação de Certificados a um Edge Gateway.

Pré-requisitos

Verifique se você tem os dados do certificado de CA no formato PEM. Na interface do usuário, você pode colar os dados PEM do certificado de CA ou navegar até um arquivo que contém os dados e que está disponível na rede do seu sistema local.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Clique em Certificado de CA.
  4. Forneça os dados do certificado de CA.
    • Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
    • Se você puder copiar e colar os dados do PEM, cole-os no campo Certificado de CA (Formato PEM).

      Inclua as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  5. (Opcional) Digite uma descrição.
  6. Clique em Manter.

Resultados

O certificado de CA é exibido na lista da tela com o tipo de certificado. Esse certificado de CA agora está disponível para você especificar quando definir as configurações relacionadas à VPN do edge gateway.

Adicionar uma Lista de Revogação de Certificados a um Edge Gateway

Uma Lista de Revogação de Certificados (CRL) é uma lista de certificados digitais que a Autoridade de Certificação (CA) emissora solicita que sejam revogados, para que os sistemas possam ser atualizados de modo a não confiar em usuários que apresentem certificados revogados. Você pode adicionar CRLs ao edge gateway.

Conforme descrito no Guia de Administração do NSX, a CRL contém os seguintes itens:

  • Os certificados revogados e os motivos da revogação
  • As datas em que os certificados foram emitidos
  • As entidades que emitiram os certificados
  • Uma data proposta para a próxima versão

Quando um usuário em potencial tenta acessar um servidor, o servidor permite ou nega o acesso com base na entrada desse usuário específico na CRL.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Clique em CRL.
  4. Forneça os dados da CRL.
    • Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
    • Se você puder copiar e colar os dados PEM, cole-os no campo CRL (Formato PEM).

      Inclua as linhas -----BEGIN X509 CRL----- e -----END X509 CRL-----.

  5. (Opcional) Digite uma descrição.
  6. Clique em Manter.

Resultados

A CRL é exibida na lista na tela.

Adicionar um certificado de serviço ao edge gateway

Adicionar certificados de serviço a um edge gateway torna esses certificados disponíveis para uso nas configurações relacionadas à VPN do edge gateway. Você pode adicionar um certificado de serviço à tela Certificados.

Pré-requisitos

Verifique se você tem o certificado de serviço e sua chave privada no formato PEM. Na interface do usuário, você pode colar nos dados PEM ou navegar até um arquivo que contém os dados e que está disponível na sua rede do seu sistema local.

Procedimento

  1. Abra Serviços de Edge Gateway.
    1. Na barra de navegação superior, clique em Rede e, depois, em Edge Gateways.
    2. Selecione o edge gateway que você deseja editar e clique em Serviços.
  2. Clique na guia Certificados.
  3. Clique em Certificado de serviço.
  4. Insira os dados formatados por PEM do certificado de serviço.
    • Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
    • Se você puder copiar e colar os dados do PEM, cole-os no campo Certificado de Serviço (formato PEM).

      Inclua as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  5. Insira os dados formatados por PEM da chave privada do certificado.
    Quando o modo FIPS está ativo, os tamanhos de chaves RSA devem ser superiores ou iguais a 2048 bits.
    • Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
    • Se você puder copiar e colar os dados do PEM, cole-os no campo Private Key (formato PEM).

      Inclua as linhas -----BEGIN RSA PRIVATE KEY----- e -----END RSA PRIVATE KEY-----.

  6. Insira uma frase-chave da private key e confirme-a.
  7. (Opcional) Insira uma descrição.
  8. Clique em Manter.

Resultados

O certificado do tipo Certificado de Serviço é exibido na lista na tela. Este certificado de serviço agora está disponível para você selecionar quando definir as configurações relacionadas à VPN do edge gateway.