在 IPSec VPN 会话中使用基于证书的身份验证时,您必须在关联的本地端点中配置 IPSec 会话的证书详细信息。

请参阅以下工作流,以详细了解如何为 IPSec VPN 会话配置证书详细信息。

为 IPSec VPN 会话配置基于证书的身份验证

  1. 使用现有 Tier-0 或 Tier-1 网关创建并启用一个 IPSec VPN 服务。请参见添加 IPSec VPN 服务
  2. 如果在 NSX Manager 中没有所需的服务器证书或 CA 证书,请导入这些证书。请参见导入自签名证书或 CA 签名证书导入 CA 证书
  3. 使用添加本地端点创建一个在逻辑路由器上托管的 VPN 服务器,并为该服务器选择证书。

    本地 ID 来自与本地端点关联的证书,并取决于证书中包含的 X509v3 扩展。本地 ID 可以是 X509v3 扩展主體別名 (Subject Alternative Name, SAN) 或标识名 (Distinguished Name, DN)。不需要使用本地 ID,因此,将忽略此处指定的 ID。不过,对于远程 VPN 网关,您需要将本地 ID 配置为对等 VPN 网关中的远程 ID。

    • 如果在证书中找到 X509v3 Subject Alternative Name,则将其中的一个 SAN 字符串作为本地 ID 值。
      如果证书具有多个 SAN 字段,则按以下顺序选择本地 ID。
      顺序 SAN 字段
      1 IP 地址
      2 DNS
      3 电子邮件地址

      例如,如果配置的站点证书具有以下 SAN 字段,

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:user1@company.com, IP Address:1.1.1.1

      则将 IP 地址 1.1.1.1 作为本地 ID。如果 IP 地址不可用,则使用 DNS 字符串。如果 IP 地址和 DNS 不可用,则使用电子邮件地址。

    • 如果在证书中不包含 X509v3 Subject Alternative Name,则将标识名 (DN) 作为本地 ID 值。

      例如,如果证书不包含任何 SAN 字段,并且其 DN 字符串为

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      则 DN 字符串自动变为本地 ID。本地 ID 是远程站点上的对等 ID。

    注: 如果未正确配置证书详细信息,这可能会导致 VPN 会话关闭,并显示 关闭警报 身份验证失败
  4. 配置基于策略或基于路由的 IPSec VPN 会话。请参见添加基于策略的 IPSec 会话添加基于路由的 IPSec 会话

    确保配置以下设置。

    1. 身份验证模式下拉菜单中,选择证书
    2. 远程 ID 文本框中,输入一个值以标识对等站点。

      远程 ID 必须是对等站点证书中使用的标识名 (DN)、IP 地址、DNS 或电子邮件地址。

      注:

      如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com

      则使用以下格式输入远程 ID 值以作为一个示例。

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com