基于证书的 VPN 在 IKE 协商期间使用数字证书,而不是预共享密钥。

可以将基于证书的身份验证与基于路由或基于策略的 VPN 结合使用。

在 IPsec VPN 的基于证书的身份验证中,每个端点在 IKE 协商期间都会提供一个证书。两个端点必须具有共同的证书颁发机构 (CA)。每个端点都会配置对等证书中的属性(例如,证书中的 DN、电子邮件 ID、IP 地址),而不是 IP 或 CIDR,作为远程标识。

前提条件

如果在 NSX Manager 中没有所需的服务器证书或 CA 证书,请导入这些证书。请参见导入自签名或 CA 签名证书导入 CA 证书

如果要导入证书,则必须创建允许导入的管理网关防火墙规则。请与您的证书颁发机构联系,了解要在规则中使用的源地址和端口号。

过程

  1. 在 SDDC 网关上配置本地 VPN 端点,并为该端点选择证书。
    默认情况下,SDDC 计算网关 (T0) 置备了本地端点。如果要将 VPN 连接到自定义 T1 网关,则需要向该网关 添加本地端点

    本地 ID 来自与本地端点关联的证书,并取决于证书中包含的 X509v3 扩展。本地 ID 可以是 X509v3 扩展主體別名 (Subject Alternative Name, SAN) 或标识名 (Distinguished Name, DN)。不需要使用本地 ID,因此,将忽略此处指定的 ID。不过,对于远程 VPN 网关,您需要将本地 ID 配置为对等 VPN 网关中的远程 ID。

    • 如果在证书中找到 X509v3 Subject Alternative Name,则将其中的一个 SAN 字符串作为本地 ID 值。
      如果证书具有多个 SAN 字段,则按以下顺序选择本地 ID。
      顺序 SAN 字段
      1 IP 地址
      2 DNS
      3 电子邮件地址

      例如,如果配置的站点证书具有以下 SAN 字段,

      X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      则将 IP 地址 1.1.1.1 作为本地 ID。如果 IP 地址不可用,则使用 DNS 字符串。如果 IP 地址和 DNS 不可用,则使用电子邮件地址。

    • 如果在证书中不包含 X509v3 Subject Alternative Name,则将标识名 (DN) 作为本地 ID 值。

      例如,如果证书不包含任何 SAN 字段,并且其 DN 字符串为

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      则 DN 字符串自动变为本地 ID。本地 ID 是远程站点上的对等 ID。

  2. 为 VPN 配置基于证书的身份验证。
    1. 身份验证模式下拉菜单中,选择证书
    2. 远程专用 IP/远程 ID 文本框中,输入一个值以标识对等站点。
      远程 ID 必须是对等站点证书中使用的标识名 (DN)、IP 地址、DNS 或电子邮件地址。
      注:

      如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      则使用以下格式输入远程 ID 值以作为一个示例。 

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]