要为 IPSec 启用证书身份验证,您必须导入服务器证书和相应的 CA 签名证书。或者,您也可以使用诸如 OpenSSL 等开源命令行工具生成 CA 签名证书。

前提条件

必须安装 OpenSSL。

过程

  1. 在安装了 OpenSSL 的 Linux 或 Mac 计算机上,打开以下文件:/opt/local/etc/openssl/openssl.cnf/System/Library/OpenSSL/openssl.cnf
  2. 确保 dir = .
  3. 运行以下命令: 
    mkdir newcerts
mkdir certs
mkdir req
mkdir private
echo "01" > serial
touch index.txt
  4. 运行以下命令生成 CA 签名证书: 
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. 在 NSX Edge1 上,执行以下步骤:
    1. 生成证书签名请求 (CSR)。
      有关详细步骤,请参见 配置 CA 签名证书
    2. 复制隐私增强邮件 (PEM) 文件内容,然后将其保存到 req/edge1.req 下面的文件中。
  6. 运行以下命令以对 CSR 进行签名: 
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. 在 NSX Edge2 上,生成 CSR,复制 PEM 文件内容,然后将其保存到 req/edge2.req 目录下的文件中。
  8. 运行以下命令以对 CSR 进行签名: 
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. certs/edge1.pem 文件结尾处的 PEM 证书上载到 Edge1。
  10. certs/edge2.pem 文件结尾处的 PEM 证书上载到 Edge2。
  11. 将签名证书 (cacert.pem) 作为 CA 签名证书导入到 Edge1 和 Edge2 中。
  12. 在 Edge1 和 Edge2 的 IPSec 全局配置中,选择上载的 PEM 证书和 CA 证书并保存配置。
  13. 导航到管理 > 设置 > 证书。选择导入的签名证书并记录 DN 字符串。
  14. 将 DN 字符串反转为 C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com 格式,并为 Edge1 和 Edge2 保存该字符串。
  15. 在 Edge1 和 Edge2 上创建 IPSec VPN 站点,并将指定格式的本地 ID 和对等 ID 作为标识名 (DN) 字符串。

结果

单击显示统计信息显示 IPSec 统计信息 (Show IPSec Statistics)以检查状态。单击通道可查看隧道状态。通道状态应该为“已启用”,隧道状态应为“已启动”。