借助 VMware Cloud Director 环境中的 NSX Data Center for vSphere 软件,您可以将安全套接字层 (Secure Sockets Layer, SSL) 证书与为 Edge 网关配置的 SSL VPN-Plus 和 IPsec VPN 通道搭配使用。
您的 VMware Cloud Director 环境中的 Edge 网关支持自签名证书、证书颁发机构 (Certification Authority, CA) 签名证书以及由 CA 生成和签名的证书。您可以生成证书签名请求 (CSR)、导入证书、管理已导入的证书,并创建证书撤销列表 (CRL)。
关于在组织虚拟数据中心使用证书
您可以在 VMware Cloud Director 组织虚拟数据中心中管理以下网络连接方面的证书。
- 组织虚拟数据中心网络和远程网络之间的 IPsec VPN 通道。
- 专用网络的远程用户和组织虚拟数据中心中的 Web 资源之间的 SSL VPN-Plus 连接。
- 两个 NSX Data Center for vSphere Edge 网关之间的 L2 VPN 通道。
- 组织虚拟数据中心中为负载均衡 配置的虚拟服务器和池服务器
如何使用客户端证书
您可以通过 CAI 命令或 REST 调用创建客户端证书。随后,您可以将此证书分发给您的远程用户,要求他们将证书安装在其 Web 浏览器上。
实施客户端证书的主要优势在于,可以保存每个远程用户各自的引用客户端证书,并将该证书与远程用户提供的客户端证书进行对照检查。为防止某位用户以后未经授权连接服务器,您可以将其引用证书从安全服务器的客户端证书列表中删除。删除证书后即可拒绝来自该用户的连接请求。
使用 VMware Cloud Director Tenant Portal 为 Edge 网关生成证书签名请求
从 CA 订购签名证书或创建自签名证书之前,必须为 Edge 网关生成证书签名请求 (CSR)。
CSR 是一种经过编码的文件,需要在要求 SSL 证书的 NSX Edge 网关上生成。使用 CSR 可标准化公司发送其公钥以及用来标识其公司名称和域名的信息的方式。
您使用匹配的私钥文件(必须保留在 Edge 网关上)生成 CSR。CSR 包含匹配的公钥和其他信息,例如您组织的名称、位置和域名。
过程
结果
下一步做什么
使用 CSR 通过以下两种方法之一创建服务证书:
- 将 CSR 传输到 CA 以获取 CA 签名证书。CA 向您发送签名证书后,将该签名证书导入到系统。请参见使用 VMware Cloud Director Tenant Portal 导入与为 Edge 网关生成的 CSR 对应的 CA 签名证书。
- 使用 CSR 创建自签名证书。请参见使用 VMware Cloud Director Tenant Portal 配置自签名服务证书。
使用 VMware Cloud Director Tenant Portal 导入与为 Edge 网关生成的 CSR 对应的 CA 签名证书
在生成证书签名请求 (CSR) 并根据该 CSR 获取 CA 签名证书后,您可以在 VMware Cloud Director 中导入该 CA 签名证书,以供 Edge 网关使用。
前提条件
过程
- 打开 Edge 网关服务。
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击证书选项卡。
- 从屏幕上的表中选择 CSR 以导入与其对应的 CA 签名证书。
- 导入签名证书。
- 单击已为 CSR 生成签名证书。
- 提供 CA 签名证书的 PEM 数据。
- 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
- 如果您可以复制和粘贴 PEM 数据,请将其粘贴到签名证书 (PEM 格式) 字段中。
包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 行。
- (可选) 输入描述。
- 单击保留。
注: 如果 CA 签名证书中的私钥与用于在“证书”屏幕上选择的 CSR 的私钥不匹配,则导入过程将失败。
结果
下一步做什么
根据需要将 CA 签名证书连接到您的 SSL VPN-Plus 或 IPsec VPN 通道。请参见使用 VMware Cloud Director Tenant Portal在 NSX Data Center for vSphere Edge 网关上配置 SSL VPN 服务器设置和使用 VMware Cloud Director Tenant Portal在 NSX Edge 网关上指定全局 IPsec VPN 设置。
使用 VMware Cloud Director Tenant Portal 配置自签名服务证书
您可以对 Edge 网关配置自签名服务证书,以便在其 VPN 相关功能中使用。您可以创建、安装和管理自签名证书。
如果“证书”屏幕上存在服务证书,则可以在配置 Edge 网关的 VPN 相关设置时指定该服务证书。VPN 会将指定的服务证书提供给访问 VPN 的客户端。
前提条件
确认在 Edge 网关的证书屏幕上至少有一个 CSR 可用。请参见使用 VMware Cloud Director Tenant Portal 为 Edge 网关生成证书签名请求。
过程
结果
使用 VMware Cloud Director Tenant Portal 将 CA 证书添加到 Edge 网关进行 SSL 证书信任验证
通过在 VMware Cloud Director 中将 CA 证书添加到 Edge 网关,可以对提供给 Edge 网关进行身份验证的 SSL 证书进行信任验证,这些证书通常是 Edge 网关的 VPN 连接中使用的客户端证书。
通常将公司或组织的根证书作为 CA 证书添加。一个典型用途是用于 SSL VPN,即需要使用证书对 VPN 客户端进行身份验证。可以将客户端证书分发到 VPN 客户端,当 VPN 客户端连接时,将根据 CA 证书验证其客户端证书。
前提条件
确认您的 CA 证书数据采用 PEM 格式。在用户界面中,可以粘贴 CA 证书的 PEM 数据,或者浏览到包含该数据且可从本地系统的网络中获得的文件。
过程
- 打开 Edge 网关服务。
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击证书选项卡。
- 单击 CA 证书。
- 提供 CA 证书数据。
- 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
- 如果您可以复制和粘贴 PEM 数据,请将其粘贴到 CA 证书 (PEM 格式) 字段中。
包括 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE----- 行。
- (可选) 输入描述。
- 单击保留。
结果
使用 VMware Cloud Director Tenant Portal 将证书吊销列表添加到 Edge 网关
证书吊销列表 (CRL) 是指证书颁发机构 (CA) 声明要吊销的数字证书列表,以便可以在更新系统后不再信任向 VMware Cloud Director 提供这些已吊销证书的用户。可以将 CRL 添加到 Edge 网关。
如《NSX 管理指南》中所述,CRL 包含以下各项:
- 已吊销证书以及吊销原因
- 证书颁发日期
- 颁发证书的实体
- 下一个版本的计划日期
当潜在用户尝试访问服务器时,服务器会根据针对该特定用户的 CRL 条目允许或拒绝访问。
过程
- 打开 Edge 网关服务。
- 在左侧一级导航面板中选择网络,然后在页面顶部导航栏中选择 Edge 网关。
- 选择要编辑的 Edge 网关,然后单击服务。
- 单击证书选项卡。
- 单击 CRL。
- 提供 CRL 数据。
- 如果此数据位于系统上您可以导航到的某个 PEM 文件中,请单击上载按钮以浏览到该文件并选择。
- 如果您可以复制和粘贴 PEM 数据,请将其粘贴到 CRL (PEM 格式) 字段中。
包括 -----BEGIN X509 CRL----- 和 -----END X509 CRL----- 行。
- (可选) 输入描述。
- 单击保留。
结果
使用 VMware Cloud Director Tenant Portal 将服务证书添加到 Edge 网关
将服务证书添加到 Edge 网关后,在配置 Edge 网关的 VPN 相关设置时可以使用这些证书。您可以将服务证书添加到证书屏幕中。
前提条件
过程
结果
类型为“服务证书”的证书将显示在屏幕上的列表中。现在,您可以在配置 Edge 网关的 VPN 相关设置时选择该服务证书。