借助 VMware Cloud Director 环境中的 NSX Data Center for vSphere 软件,您可以将安全套接字层 (Secure Sockets Layer, SSL) 证书与为 Edge 网关配置的 SSL VPN-Plus 和 IPsec VPN 通道搭配使用。

您的 VMware Cloud Director 环境中的 Edge 网关支持自签名证书、证书颁发机构 (Certification Authority, CA) 签名证书以及由 CA 生成和签名的证书。您可以生成证书签名请求 (CSR)、导入证书、管理已导入的证书,并创建证书撤销列表 (CRL)。

关于在组织虚拟数据中心使用证书

您可以在 VMware Cloud Director 组织虚拟数据中心中管理以下网络连接方面的证书。

  • 组织虚拟数据中心网络和远程网络之间的 IPsec VPN 通道。
  • 专用网络的远程用户和组织虚拟数据中心中的 Web 资源之间的 SSL VPN-Plus 连接。
  • 两个 NSX Data Center for vSphere Edge 网关之间的 L2 VPN 通道。
  • 组织虚拟数据中心中为负载均衡  配置的虚拟服务器和池服务器

如何使用客户端证书

您可以通过 CAI 命令或 REST 调用创建客户端证书。随后,您可以将此证书分发给您的远程用户,要求他们将证书安装在其 Web 浏览器上。

实施客户端证书的主要优势在于,可以保存每个远程用户各自的引用客户端证书,并将该证书与远程用户提供的客户端证书进行对照检查。为防止某位用户以后未经授权连接服务器,您可以将其引用证书从安全服务器的客户端证书列表中删除。删除证书后即可拒绝来自该用户的连接请求。

使用 VMware Cloud Director Tenant Portal 为 Edge 网关生成证书签名请求

从 CA 订购签名证书或创建自签名证书之前,必须为 Edge 网关生成证书签名请求 (CSR)。

CSR 是一种经过编码的文件,需要在要求 SSL 证书的 NSX Edge 网关上生成。使用 CSR 可标准化公司发送其公钥以及用来标识其公司名称和域名的信息的方式。

您使用匹配的私钥文件(必须保留在 Edge 网关上)生成 CSR。CSR 包含匹配的公钥和其他信息,例如您组织的名称、位置和域名。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 证书选项卡中,单击 CSR
  4. 为 CSR 配置以下选项:
    选项 描述
    公用名称 输入要使用该证书的组织的完全限定域名 (FQDN)(例如 www.example.com)。

    请勿在公用名称中包含 http://https:// 前缀。

    组织单位 使用此字段可区分与此证书关联的 VMware Cloud Director 组织内的部门。例如,工程部门或销售部门。
    组织名称 输入您公司合法注册的名称。

    列出的组织必须是证书请求中域名的合法注册人。

    地点 输入您公司合法注册的城市或地点。
    省/市/自治区名称 输入您公司合法注册的省/市/自治区、地区或领地的完整名称(不要使用缩写)。
    国家/地区代码 输入您公司合法注册的国家/地区名称。
    私钥算法 输入证书的密钥类型,RSA 或 DSA。

    通常使用 RSA。密钥类型定义在主机之间通信的加密算法。启用 FIPS 模式时,RSA 密钥大小必须大于或等于 2048 位。

    注: SSL VPN-Plus 仅支持 RSA 证书。
    密钥大小 输入密钥大小(位)。

    最小值为 2048 位。

    描述 (可选)输入证书描述。
  5. 单击保留
    系统将生成 CSR,并将类型为“CSR”的一个新条目添加到屏幕上的列表中。

结果

在屏幕列表中,选择类型为“CSR”的条目时,将在屏幕上显示 CSR 详细信息。您可以复制 CSR 显示的 PEM 格式数据并将其提交给证书颁发机构 (CA) 以获取 CA 签名证书。

下一步做什么

使用 CSR 通过以下两种方法之一创建服务证书:

使用 VMware Cloud Director Tenant Portal 导入与为 Edge 网关生成的 CSR 对应的 CA 签名证书

在生成证书签名请求 (CSR) 并根据该 CSR 获取 CA 签名证书后,您可以在 VMware Cloud Director 中导入该 CA 签名证书,以供 Edge 网关使用。

前提条件

确认您已获取与 CSR 对应的 CA 签名证书。如果 CA 签名证书中的私钥与用于所选 CSR 的私钥不匹配,则导入过程将失败。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 从屏幕上的表中选择 CSR 以导入与其对应的 CA 签名证书。
  4. 导入签名证书。
    1. 单击已为 CSR 生成签名证书
    2. 提供 CA 签名证书的 PEM 数据。
      • 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
      • 如果您可以复制和粘贴 PEM 数据,请将其粘贴到签名证书 (PEM 格式) 字段中。

        包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

    3. (可选) 输入描述。
    4. 单击保留
      注: 如果 CA 签名证书中的私钥与用于在“证书”屏幕上选择的 CSR 的私钥不匹配,则导入过程将失败。

结果

类型为“服务证书”的 CA 签名证书将显示在屏幕上的列表中。

下一步做什么

根据需要将 CA 签名证书连接到您的 SSL VPN-Plus 或 IPsec VPN 通道。请参见使用 VMware Cloud Director Tenant Portal在 NSX Data Center for vSphere Edge 网关上配置 SSL VPN 服务器设置使用 VMware Cloud Director Tenant Portal在 NSX Edge 网关上指定全局 IPsec VPN 设置

使用 VMware Cloud Director Tenant Portal 配置自签名服务证书

您可以对 Edge 网关配置自签名服务证书,以便在其 VPN 相关功能中使用。您可以创建、安装和管理自签名证书。

如果“证书”屏幕上存在服务证书,则可以在配置 Edge 网关的 VPN 相关设置时指定该服务证书。VPN 会将指定的服务证书提供给访问 VPN 的客户端。

前提条件

确认在 Edge 网关的证书屏幕上至少有一个 CSR 可用。请参见使用 VMware Cloud Director Tenant Portal 为 Edge 网关生成证书签名请求

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 从列表中选择要用于此自签名证书的 CSR,然后单击自签名 CSR
  4. 输入自签名证书的有效天数。
  5. 单击保留
    系统将生成自签名证书,并将一个类型为“服务证书”的新条目添加到屏幕上的列表中。

结果

自签名证书可用于 Edge 网关。在屏幕上的列表中,当您选择类型为“服务证书”的条目时,将在屏幕上显示其详细信息。

使用 VMware Cloud Director Tenant Portal 将 CA 证书添加到 Edge 网关进行 SSL 证书信任验证

通过在 VMware Cloud Director 中将 CA 证书添加到 Edge 网关,可以对提供给 Edge 网关进行身份验证的 SSL 证书进行信任验证,这些证书通常是 Edge 网关的 VPN 连接中使用的客户端证书。

通常将公司或组织的根证书作为 CA 证书添加。一个典型用途是用于 SSL VPN,即需要使用证书对 VPN 客户端进行身份验证。可以将客户端证书分发到 VPN 客户端,当 VPN 客户端连接时,将根据 CA 证书验证其客户端证书。

注: 添加 CA 证书时,通常可以配置相关的证书吊销列表 (Certificate Revocation List, CRL)。CRL 可防止客户端提供已吊销的证书。请参见 使用 VMware Cloud Director Tenant Portal 将证书吊销列表添加到 Edge 网关

前提条件

确认您的 CA 证书数据采用 PEM 格式。在用户界面中,可以粘贴 CA 证书的 PEM 数据,或者浏览到包含该数据且可从本地系统的网络中获得的文件。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 单击 CA 证书
  4. 提供 CA 证书数据。
    • 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
    • 如果您可以复制和粘贴 PEM 数据,请将其粘贴到 CA 证书 (PEM 格式) 字段中。

      包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

  5. (可选) 输入描述。
  6. 单击保留

结果

类型为“CA 证书”的 CA 证书将显示在屏幕上的列表中。现在,您可以在配置 Edge 网关的 VPN 相关设置时指定该 CA 证书。

使用 VMware Cloud Director Tenant Portal 将证书吊销列表添加到 Edge 网关

证书吊销列表 (CRL) 是指证书颁发机构 (CA) 声明要吊销的数字证书列表,以便可以在更新系统后不再信任向 VMware Cloud Director 提供这些已吊销证书的用户。可以将 CRL 添加到 Edge 网关。

《NSX 管理指南》中所述,CRL 包含以下各项:

  • 已吊销证书以及吊销原因
  • 证书颁发日期
  • 颁发证书的实体
  • 下一个版本的计划日期

当潜在用户尝试访问服务器时,服务器会根据针对该特定用户的 CRL 条目允许或拒绝访问。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 单击 CRL
  4. 提供 CRL 数据。
    • 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
    • 如果您可以复制和粘贴 PEM 数据,请将其粘贴到 CRL (PEM 格式) 字段中。

      包括 -----BEGIN X509 CRL----------END X509 CRL----- 行。

  5. (可选) 输入描述。
  6. 单击保留

结果

CRL 将显示在屏幕上的列表中。

使用 VMware Cloud Director Tenant Portal 将服务证书添加到 Edge 网关

将服务证书添加到 Edge 网关后,在配置 Edge 网关的 VPN 相关设置时可以使用这些证书。您可以将服务证书添加到证书屏幕中。

前提条件

确认您拥有服务证书以及 PEM 格式的专用密钥。在用户界面中,可以粘贴 PEM 数据,或者浏览到包含该数据且可从本地系统的网络中获得的文件。

过程

  1. 打开 Edge 网关服务。
    1. 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关
    2. 选择要编辑的 Edge 网关,然后单击服务
  2. 单击证书选项卡。
  3. 单击服务证书
  4. 输入服务证书的 PEM 格式数据。
    • 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
    • 如果您可以复制和粘贴 PEM 数据,请将其粘贴到服务证书 (PEM 格式) 字段中。

      包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

  5. 输入证书私钥的 PEM 格式数据。
    启用 FIPS 模式时,RSA 密钥大小必须大于或等于 2048 位。
    • 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择它。
    • 如果您可以复制和粘贴 PEM 数据,请将其粘贴到私钥 (PEM 格式) 字段中。

      包括 -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- 行。

  6. 输入专用密钥密码短语并进行确认。
  7. (可选) 输入描述。
  8. 单击保留

结果

类型为“服务证书”的证书将显示在屏幕上的列表中。现在,您可以在配置 Edge 网关的 VPN 相关设置时选择该服务证书。