Die NSX Data Center for vSphere-Software in der VMware Cloud Director-Umgebung bietet die Möglichkeit, Secure Sockets Layer (SSL)-Zertifikate mit den für Ihre Edge-Gateways konfigurierten Tunneln SSL VPN-Plus und IPsec-VPN zu verwenden.
Die Edge-Gateways in Ihrer VMware Cloud Director-Umgebung unterstützen selbstsignierte Zertifikate, von einer Zertifizierungsstelle (CA) signierte Zertifikate und Zertifikate, die von einer Zertifizierungsstelle generiert und signiert wurden. Sie können CSRs (Certificate Signing Requests, Zertifikatsignieranforderungen) generieren, die Zertifikate importieren, die importierten Zertifikate verwalten und CRLs (Certificate Revocation Lists, Zertifikatswiderrufslisten) erstellen.
Informationen zur Verwendung von Zertifikaten mit Ihrem Organisations-VDC
Sie können Zertifikate für die folgenden Netzwerkbereiche in Ihrem VMware Cloud Director-Organisations-VDC verwalten.
- IPsec-VPN-Tunnel zwischen einem VDC-Organisationsnetzwerk und einem Remotenetzwerk.
- SSL VPN-Plus-Verbindungen zwischen Remotebenutzern, privaten Netzwerken und Webressourcen in Ihrem Organisations-VDC.
- Ein L2 VPN-Tunnel zwischen zwei NSX Data Center for vSphere-Edge-Gateways.
- Die virtuellen Server und die Poolserver, die für den Lastausgleich in Ihrem Organisations-VDC konfiguriert sind
Verwendung von Clientzertifikaten
Sie können ein Clientzertifikat unter Verwendung eines CAI-Befehls oder eines REST-Aufrufs erstellen. Anschließend können Sie dieses Zertifikat an Ihre Remotebenutzer verteilen, die das Zertifikat dann im Webbrowser installieren können.
Der Hauptvorteil des Implementierens von Clientzertifikaten besteht darin, dass für jeden Remotebenutzer ein Client-Referenzzertifikat gespeichert und anhand des vom Remotebenutzer bereitgestellten Clientzertifikats überprüft werden kann. Um zu verhindern, dass ein bestimmter Benutzer zukünftig eine Verbindung herstellt, können Sie das Referenzzertifikat aus der Liste der Clientzertifikate des Sicherheitsservers löschen. Durch das Löschen des Zertifikats kann der Benutzer keine Verbindungen herstellen.
Generieren einer Zertifikatsignieranforderung für ein Edge-Gateway
Bevor Sie ein signiertes Zertifikat bei einer Zertifizierungsstelle anfordern oder ein selbstsigniertes Zertifikat erstellen können, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für Ihr Edge-Gateway generieren.
Eine CSR ist eine codierte Datei, die Sie benötigen, um auf einem NSX Edge Gateway, das ein SSL-Zertifikat benötigt, ein Zertifikat zu generieren. Durch eine CSR wird die Art und Weise, wie Unternehmen ihre öffentlichen Schlüssel zusammen mit den Informationen senden, die ihre Unternehmens- und Domänennamen identifizieren, standardisiert.
Sie generieren eine CSR mit einer übereinstimmenden Datei mit dem privaten Schlüssel, die auf dem Edge-Gateway verbleiben muss. Die CSR enthält den passenden öffentlichen Schlüssel sowie weitere Informationen, wie z. B. Namen, Standort und Domänennamen Ihrer Organisation.
Prozedur
Ergebnisse
Nächste Maßnahme
Verwenden Sie die CSR, um mit einer der folgenden beiden Optionen ein Dienstzertifikat zu erstellen:
- Übertragen Sie die CSR an eine Zertifizierungsstelle, um ein von einer Zertifizierungsstelle signiertes Zertifikat zu erhalten. Wenn die Zertifizierungsstelle Ihnen das signierte Zertifikat sendet, importieren Sie das signierte Zertifikat in das System. Weitere Informationen finden Sie unter Importieren des von der Zertifizierungsstelle signierten Zertifikats, das der für ein Edge-Gateway generierten CSR entspricht.
- Verwenden Sie die CSR, um ein selbstsigniertes Zertifikat erstellen. Weitere Informationen finden Sie unter Konfigurieren eines selbstsignierten Dienstzertifikats.
Importieren des von der Zertifizierungsstelle signierten Zertifikats, das der für ein Edge-Gateway generierten CSR entspricht
Nachdem Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generiert und das von der Zertifizierungsstelle signierte Zertifikat basierend auf dieser CSR bezogen haben, können Sie das von der Zertifizierungsstelle signierte Zertifikat importieren, damit es vom Edge-Gateway verwendet werden kann.
Voraussetzungen
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf die Registerkarte Zertifikate.
- Wählen Sie die CSR in der Tabelle auf dem Bildschirm aus, für die Sie das von der Zertifizierungsstelle signierte Zertifikat importieren.
- Importieren Sie das signierte Zertifikat.
- Klicken Sie auf Signiertes für CSR generiertes Zertifikat.
- Geben Sie die PEM-Daten des von der Zertifizierungsstelle signierten Zertifikats an.
- Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
- Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld Signiertes Zertifikat (PEM-Format) ein.
Fügen Sie die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzu.
- (Optional) Geben Sie eine Beschreibung ein.
- Klicken Sie auf Behalten.
Hinweis: Wenn der private Schlüssel im von der Zertifizierungsstelle signierten Zertifikat nicht dem für die CSR, die Sie im Bildschirm „Zertifikate“ ausgewählt haben, entspricht, schlägt der Importvorgang fehl.
Ergebnisse
Nächste Maßnahme
Fügen Sie das von der Zertifizierungsstelle signierte Zertifikat nach Bedarf dem SSL VPN-Plus- oder IPsec VPN-Tunnel hinzu. Weitere Informationen erhalten Sie unter Konfigurieren der SSL-VPN-Servereinstellungen und Angeben der globalen IPsec-VPN-Einstellungen.
Konfigurieren eines selbstsignierten Dienstzertifikats
Sie können selbstsignierte Dienstzertifikate mit Ihren Edge-Gateways konfigurieren, um diese in den zugehörigen VPN-bezogenen Funktionen zu verwenden. Sie können selbstsignierte Zertifikate erstellen, installieren und verwalten.
Falls das Dienstzertifikat im Bildschirm „Zertifikate“ verfügbar ist, können Sie dieses Dienstzertifikat angeben, wenn Sie die VPN-bezogenen Einstellungen des Edge-Gateways konfigurieren. Das VPN zeigt das angegebene Dienstzertifikat für die Clients an, die auf das VPN zugreifen.
Voraussetzungen
Vergewissern Sie sich, dass auf dem Bildschirm Zertifikate für das Edge-Gateway mindestens eine CSR verfügbar ist. Weitere Informationen finden Sie unter Generieren einer Zertifikatsignieranforderung für ein Edge-Gateway.
Prozedur
Ergebnisse
Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten
Das Hinzufügen eines CA-Zertifikats zu einem Edge-Gateway ermöglicht die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten, die dem Edge-Gateway zur Authentifizierung vorgelegt werden, in der Regel die Clientzertifikate, die in VPN-Verbindungen zum Edge-Gateway verwendet werden.
In der Regel fügen Sie das Stammzertifikat Ihres Unternehmens oder Ihrer Organisation als CA-Zertifikat hinzu. Ein typischer Anwendungsfall ist SSL-VPN, bei dem Sie VPN-Clients unter Verwendung von Zertifikaten authentifizieren möchten. Clientzertifikate können an die VPN-Clients verteilt werden, und wenn die Verbindung der VPN-Clients hergestellt wird, werden dazugehörige Clientzertifikate anhand des CA-Zertifikats validiert.
Voraussetzungen
Vergewissern Sie sich, dass die Daten der CA-Zertifikate im PEM-Format vorliegen. Auf der Benutzeroberfläche können Sie entweder die PEM-Daten des CA-Zertifikats einfügen oder zu einer Datei navigieren, die die Daten enthält und in Ihrem Netzwerk über das lokale System verfügbar ist.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf die Registerkarte Zertifikate.
- Klicken Sie auf CA-Zertifikat.
- Geben Sie die Daten des CA-Zertifikats an.
- Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
- Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld CA-Zertifikat (PEM-Format) ein.
Fügen Sie die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzu.
- (Optional) Geben Sie eine Beschreibung ein.
- Klicken Sie auf Behalten.
Ergebnisse
Hinzufügen einer Zertifikatswiderrufsliste zu einem Edge-Gateway
Eine Zertifikatswiderrufsliste (Certificate Revocation List, CRL) ist eine Liste digitaler Zertifikate, die laut der ausstellenden Zertifizierungsstelle (CA) widerrufen wurden. Damit können Systeme aktualisiert werden, sodass Benutzern, die diese widerrufenen Zertifikate vorlegen, nicht vertraut wird. Sie können dem Edge-Gateway CRLs hinzufügen.
Wie im Administratorhandbuch für NSX beschrieben, enthält die CRL die folgenden Elemente:
- Die widerrufenen Zertifikate und den Grund des jeweiligen Widerrufs
- Das jeweilige Ausstellungsdatum des Zertifikats
- Der jeweilige Aussteller des Zertifikats
- Ein vorgeschlagenes Datum für die nächste Freigabe
Wenn ein potenzieller Benutzer versucht, auf einen Server zuzugreifen, wird anhand des CRL-Eintrags für den bestimmten Benutzer der Zugriff zugelassen oder verweigert.
Prozedur
- Öffnen Sie „Edge-Gateway-Dienste“.
- Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
- Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
- Klicken Sie auf die Registerkarte Zertifikate.
- Klicken Sie auf CRL.
- Geben Sie die CRL-Daten an.
- Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
- Wenn Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld CRL (PEM-Format) ein.
Fügen Sie die Zeilen -----BEGIN X509 CRL----- und -----END X509 CRL----- hinzu.
- (Optional) Geben Sie eine Beschreibung ein.
- Klicken Sie auf Behalten.
Ergebnisse
Hinzufügen eines Dienstzertifikats zum Edge-Gateway
Durch Hinzufügen von Dienstzertifikaten zu einem Edge-Gateway können diese Zertifikate in den VPN-bezogenen Einstellungen des Edge-Gateways verwendet werden. Sie können ein Dienstzertifikat dem Bildschirm Zertifikate hinzufügen.
Voraussetzungen
Prozedur
Ergebnisse
Das Zertifikat vom Typ „Dienstzertifikat“ wird in der Liste auf dem Bildschirm angezeigt. Dieses Dienstzertifikat kann nun von Ihnen ausgewählt werden, wenn Sie die VPN-bezogenen Einstellungen des Edge-Gateways konfigurieren.