O software NSX Data Center for vSphere no ambiente VMware Cloud Director fornece a capacidade de usar certificados SSL (Secure Sockets Layer) com os túneis de VPN-Plus SSL e VPN IPsec que você configura para seus gateways de borda.
Os edge gateways no seu ambiente VMware Cloud Director oferecem suporte para certificados autoassinados, certificados assinados por uma autoridade de certificação (CA) e certificados gerados e assinados por uma CA. Você pode gerar solicitações de assinatura de certificado (CSRs), importar os certificados, gerenciar os certificados importados e criar listas de certificados revogados (CRLs).
Sobre o uso de certificados com seu centro de dados virtual de organização
Você pode gerenciar certificados para as seguintes áreas de rede no data center virtual de organização do VMware Cloud Director.
- Túneis de VPN IPsec entre uma rede de data center virtual de organização e uma rede remota.
- Conexões SSL VPN-Plus entre usuários remotos com redes privadas e recursos da Web no seu data center virtual de organização.
- Um túnel VPN L2 entre dois edge gateways do NSX Data Center for vSphere.
- Os servidores virtuais e servidores de pools configurados para balanceamento de carga no data center virtual da organização
Como usar certificados de cliente
Você pode criar um certificado de cliente por meio de um comando CAI ou de uma chamada REST. Em seguida, pode distribuir esse certificado aos seus usuários remotos, que podem instalar o certificado em seus navegadores da Web.
O principal benefício de implementar certificados de cliente é que um certificado de cliente de referência para cada usuário remoto pode ser armazenado e verificado em relação ao certificado de cliente apresentado pelo usuário remoto. Para evitar conexões futuras de um determinado usuário, você pode excluir o certificado de referência da lista de certificados de cliente do servidor seguro. Excluir o certificado nega as conexões desse usuário.
Gerar uma solicitação de assinatura de certificado para um edge gateway usando seu VMware Cloud Director Service Provider Admin Portal
Para solicitar um certificado assinado de uma autoridade de certificação ou criar um certificado autoassinado, você deve gerar uma solicitação de assinatura de certificado (CSR) para o seu edge gateway.
Uma CSR é um arquivo codificado que você precisa gerar em um gateway do NSX Edge que requer um certificado SSL. Usar uma CSR padroniza a maneira como as empresas enviam suas chaves públicas junto com informações que identificam seus nomes de empresa e nomes de domínio.
Você gera uma CSR com um arquivo de chave privada correspondente que deve permanecer no edge gateway. A CSR contém a chave pública correspondente e outras informações, como o nome, o local e o nome de domínio da sua organização.
Procedimento
Resultados
O que Fazer Depois
Use a CSR para criar um certificado de serviço usando uma destas duas opções:
- Transmita a CSR a uma CA para obter um certificado assinado pela CA. Quando a CA lhe enviar o certificado assinado, importe-o para o sistema. Consulte Importar o certificado assinado pela autoridade de certificação correspondente à CSR gerada para um edge gateway usando seu VMware Cloud Director Service Provider Admin Portal.
- Use a CSR para criar um certificado autoassinado. Consulte Configurar um certificado de serviço autoassinado usando seu VMware Cloud Director Service Provider Admin Portal.
Importar o certificado assinado pela autoridade de certificação correspondente à CSR gerada para um edge gateway usando seu VMware Cloud Director Service Provider Admin Portal
Depois de gerar uma Solicitação de Assinatura de Certificado (CSR) e obter o certificado assinado pela autoridade de certificação com base nessa CSR, você pode importar o certificado assinado pela CA para uso pelo edge gateway no VMware Cloud Director.
Pré-requisitos
Procedimento
- Abra Serviços de Edge Gateway.
- No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione a guia Recursos de Nuvem.
- No painel esquerdo secundário, selecione Edge Gateways.
- Clique no botão de opção ao lado do nome do edge gateway de destino e clique em Serviços.
- Clique na guia Certificados.
- Selecione a CSR na tabela na tela para a qual você está importando o certificado assinado pela CA.
- Importe o certificado assinado.
- Clique em Certificado assinado gerado para CSR.
- Forneça os dados do PEM do certificado assinado pela CA.
- Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
- Se você puder copiar e colar os dados do PEM, cole-os no campo Certificado Assinado (formato PEM).
Inclua as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Opcional) Insira uma descrição.
- Clique em Manter.
Observação: Se a chave privada no certificado assinado pela CA não corresponder à da CSR selecionada na tela Certificados, o processo de importação falhará.
Resultados
O que Fazer Depois
Anexe o certificado assinado pela CA aos túneis de SSL VPN-Plus ou VPN IPsec conforme necessário. Consulte Definir configurações do servidor VPN SSL em um edge gateway do NSX Data Center for vSphere usando o VMware Cloud Director Service Provider Admin Portal e Especificar configurações globais de VPN IPsec em um edge gateway do NSX no VMware Cloud Director Service Provider Admin Portal.
Configurar um certificado de serviço autoassinado usando seu VMware Cloud Director Service Provider Admin Portal
Você pode configurar certificados de serviço autoassinados com seus edge gateways do para usar em seus recursos relacionados à VPN. Você pode criar, instalar e gerenciar certificados autoassinados.
Se o certificado de serviço estiver disponível na tela certificados, você poderá especificar esse certificado de serviço ao definir as configurações relacionadas à VPN do edge gateway. A VPN apresenta o certificado de serviço especificado para os clientes que acessam a VPN.
Pré-requisitos
Verifique se pelo menos um CSR está disponível na tela Certificados para o edge gateway. Consulte Gerar uma solicitação de assinatura de certificado para um edge gateway usando seu VMware Cloud Director Service Provider Admin Portal.
Procedimento
Resultados
Adicionar um certificado de CA ao edge gateway para verificação da confiança do certificado SSL usando seu VMware Cloud Director Service Provider Admin Portal
Adicionar um certificado de CA a um edge gateway no VMware Cloud Director permite a verificação de confiança dos certificados SSL que são apresentados a esse edge gateway para autenticação, normalmente os certificados de cliente usados em conexões VPN com o edge gateway.
Você normalmente adiciona o certificado raiz de sua empresa ou organização como um certificado de CA. Um uso típico é para a VPN SSL, onde você deseja autenticar clientes VPN usando certificados. Os certificados de cliente podem ser distribuídos para os clientes VPN. Quando os clientes VPN se conectam, seus certificados de cliente são validados com base no certificado de CA.
Pré-requisitos
Verifique se você tem os dados do certificado de CA no formato PEM. Na interface do usuário, você pode colar os dados PEM do certificado de CA ou navegar até um arquivo que contém os dados e que está disponível na rede do seu sistema local.
Procedimento
- Abra Serviços de Edge Gateway.
- No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione a guia Recursos de Nuvem.
- No painel esquerdo secundário, selecione Edge Gateways.
- Clique no botão de opção ao lado do nome do edge gateway de destino e clique em Serviços.
- Clique na guia Certificados.
- Clique em Certificado de CA.
- Forneça os dados do certificado de CA.
- Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
- Se você puder copiar e colar os dados do PEM, cole-os no campo Certificado de CA (Formato PEM).
Inclua as linhas -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Opcional) Insira uma descrição.
- Clique em Manter.
Resultados
Adicionar uma lista de revogação de certificados a um edge gateway usando seu VMware Cloud Director Service Provider Admin Portal
Uma Lista de Revogação de Certificados (CRL) é uma lista de certificados digitais que a Autoridade de Certificação (CA) emissora solicita que sejam revogados, para que os sistemas possam ser atualizados de modo a não confiar em usuários que apresentem certificados revogados no VMware Cloud Director. Você pode adicionar CRLs ao edge gateway.
Conforme descrito no Guia de Administração do NSX, a CRL contém os seguintes itens:
- Os certificados revogados e os motivos da revogação
- As datas em que os certificados foram emitidos
- As entidades que emitiram os certificados
- Uma data proposta para a próxima versão
Quando um usuário em potencial tenta acessar um servidor, o servidor permite ou nega o acesso com base na entrada desse usuário específico na CRL.
Procedimento
- Abra Serviços de Edge Gateway.
- No painel de navegação esquerdo primário, selecione Recursos e, na barra de navegação superior da página, selecione a guia Recursos de Nuvem.
- No painel esquerdo secundário, selecione Edge Gateways.
- Clique no botão de opção ao lado do nome do edge gateway de destino e clique em Serviços.
- Clique na guia Certificados.
- Clique em CRL.
- Forneça os dados da CRL.
- Se os dados estiverem em um arquivo PEM em um sistema para o qual você possa navegar, clique no botão Carregar para navegar até o arquivo e selecione-o.
- Se você puder copiar e colar os dados PEM, cole-os no campo CRL (Formato PEM).
Inclua as linhas -----BEGIN X509 CRL----- e -----END X509 CRL-----.
- (Opcional) Insira uma descrição.
- Clique em Manter.
Resultados
Adicionar um certificado de serviço ao edge gateway usando seu VMware Cloud Director Service Provider Admin Portal
Adicionar certificados de serviço a um edge gateway torna esses certificados disponíveis para uso nas configurações relacionadas à VPN do edge gateway. Você pode adicionar um certificado de serviço à tela Certificados.
Pré-requisitos
Procedimento
Resultados
O certificado do tipo Certificado de Serviço é exibido na lista na tela. Este certificado de serviço agora está disponível para você selecionar quando definir as configurações relacionadas à VPN do edge gateway.