在 IPSec VPN 会话中使用基于证书的身份验证时,您必须在关联的本地端点中配置 IPSec 会话的证书详细信息。
注:
IPSec VPN 不支持通配符证书。
请参阅以下工作流,以详细了解如何为 IPSec VPN 会话配置证书详细信息。
为 IPSec VPN 会话配置基于证书的身份验证
- 使用现有 Tier-0 或 Tier-1 网关创建并启用一个 IPSec VPN 服务。请参见添加 IPSec VPN 服务。
- 如果在 NSX Manager 中没有所需的服务器证书或 CA 证书,请导入这些证书。请参见导入自签名证书或 CA 签名证书和导入 CA 证书。
- 使用添加本地端点创建一个在逻辑路由器上托管的 VPN 服务器,并为该服务器选择证书。
本地 ID 来自与本地端点关联的证书,并取决于证书中包含的 X509v3 扩展。本地 ID 可以是 X509v3 扩展主體別名 (Subject Alternative Name, SAN) 或标识名 (Distinguished Name, DN)。不需要使用本地 ID,因此,将忽略此处指定的 ID。不过,对于远程 VPN 网关,您需要将本地 ID 配置为对等 VPN 网关中的远程 ID。
- 如果在证书中找到 X509v3 Subject Alternative Name,则将其中的一个 SAN 字符串作为本地 ID 值。
如果证书具有多个 SAN 字段,则按以下顺序选择本地 ID。
顺序 SAN 字段 1 IP 地址 2 DNS 3 电子邮件地址 例如,如果配置的站点证书具有以下 SAN 字段,
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
则将 IP 地址
1.1.1.1
作为本地 ID。如果 IP 地址不可用,则使用 DNS 字符串。如果 IP 地址和 DNS 不可用,则使用电子邮件地址。 - 如果在证书中不包含 X509v3 Subject Alternative Name,则将标识名 (DN) 作为本地 ID 值。
例如,如果证书不包含任何 SAN 字段,并且其 DN 字符串为
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
则 DN 字符串自动变为本地 ID。本地 ID 是远程站点上的对等 ID。
注: 如果未正确配置证书详细信息,这可能会导致 VPN 会话关闭,并显示 关闭警报 身份验证失败。 - 如果在证书中找到 X509v3 Subject Alternative Name,则将其中的一个 SAN 字符串作为本地 ID 值。
- 配置基于策略或基于路由的 IPSec VPN 会话。请参见添加基于策略的 IPSec 会话或添加基于路由的 IPSec 会话。
确保配置以下设置。
- 从身份验证模式下拉菜单中,选择证书。
- 在远程 ID 文本框中,输入一个值以标识对等站点。
远程 ID 必须是对等站点证书中使用的标识名 (DN)、IP 地址、DNS 或电子邮件地址。
注:如果对等站点的证书在 DN 字符串中包含电子邮件地址,例如,
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
则使用以下格式输入远程 ID 值以作为一个示例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]