Die NSX Data Center for vSphere-Software in der VMware Cloud Director-Umgebung bietet die Möglichkeit, Secure Sockets Layer (SSL)-Zertifikate mit den für Ihre Edge-Gateways konfigurierten Tunneln SSL VPN-Plus und IPsec-VPN zu verwenden.

Die Edge-Gateways in Ihrer VMware Cloud Director-Umgebung unterstützen selbstsignierte Zertifikate, von einer Zertifizierungsstelle (CA) signierte Zertifikate und Zertifikate, die von einer Zertifizierungsstelle generiert und signiert wurden. Sie können CSRs (Certificate Signing Requests, Zertifikatsignieranforderungen) generieren, die Zertifikate importieren, die importierten Zertifikate verwalten und CRLs (Certificate Revocation Lists, Zertifikatswiderrufslisten) erstellen.

Informationen zur Verwendung von Zertifikaten mit Ihrem Organisations-VDC

Sie können Zertifikate für die folgenden Netzwerkbereiche in Ihrem VMware Cloud Director-Organisations-VDC verwalten.

  • IPsec-VPN-Tunnel zwischen einem VDC-Organisationsnetzwerk und einem Remotenetzwerk.
  • SSL VPN-Plus-Verbindungen zwischen Remotebenutzern, privaten Netzwerken und Webressourcen in Ihrem Organisations-VDC.
  • Ein L2 VPN-Tunnel zwischen zwei NSX Data Center for vSphere-Edge-Gateways.
  • Die virtuellen Server und die Poolserver, die für den Lastausgleich in Ihrem Organisations-VDC konfiguriert sind

Verwendung von Clientzertifikaten

Sie können ein Clientzertifikat unter Verwendung eines CAI-Befehls oder eines REST-Aufrufs erstellen. Anschließend können Sie dieses Zertifikat an Ihre Remotebenutzer verteilen, die das Zertifikat dann im Webbrowser installieren können.

Der Hauptvorteil des Implementierens von Clientzertifikaten besteht darin, dass für jeden Remotebenutzer ein Client-Referenzzertifikat gespeichert und anhand des vom Remotebenutzer bereitgestellten Clientzertifikats überprüft werden kann. Um zu verhindern, dass ein bestimmter Benutzer zukünftig eine Verbindung herstellt, können Sie das Referenzzertifikat aus der Liste der Clientzertifikate des Sicherheitsservers löschen. Durch das Löschen des Zertifikats kann der Benutzer keine Verbindungen herstellen.

Generieren einer Zertifikatsignieranforderung für ein Edge-Gateway

Bevor Sie ein signiertes Zertifikat bei einer Zertifizierungsstelle anfordern oder ein selbstsigniertes Zertifikat erstellen können, müssen Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) für Ihr Edge-Gateway generieren.

Eine CSR ist eine codierte Datei, die Sie benötigen, um auf einem NSX Edge Gateway, das ein SSL-Zertifikat benötigt, ein Zertifikat zu generieren. Durch eine CSR wird die Art und Weise, wie Unternehmen ihre öffentlichen Schlüssel zusammen mit den Informationen senden, die ihre Unternehmens- und Domänennamen identifizieren, standardisiert.

Sie generieren eine CSR mit einer übereinstimmenden Datei mit dem privaten Schlüssel, die auf dem Edge-Gateway verbleiben muss. Die CSR enthält den passenden öffentlichen Schlüssel sowie weitere Informationen, wie z. B. Namen, Standort und Domänennamen Ihrer Organisation.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Klicken Sie auf der Registerkarte Zertifikate auf CSR.
  4. Konfigurieren Sie die folgenden Optionen für die CSR:
    Option Beschreibung
    Allgemeiner Name Geben Sie den vollqualifizierten Domänennamen (FQDN) für die Organisation ein, für die Sie das Zertifikat verwenden möchten (z. B. www.example.com).

    Schließen Sie das Präfix http:// oder https:// nicht in den allgemeinen Namen ein.

    Organisationseinheit Verwenden Sie dieses Feld, um zwischen Abteilungen innerhalb Ihrer VMware Cloud Director-Organisation zu unterscheiden, denen dieses Zertifikat zugeordnet ist. Zum Beispiel Konstruktion oder Vertrieb.
    Name der Organisation Geben Sie den Namen ein, unter dem Ihr Unternehmen gesetzlich eingetragen ist.

    Die aufgeführte Organisation muss der gesetzliche Registrant des Domänennamens in der Zertifikatsanforderung sein.

    Ort Geben Sie die Stadt oder den Ort an, in der bzw. dem Ihr Unternehmen gesetzlich eingetragen ist.
    Bundesland oder Kanton Geben Sie den vollständigen Namen (keine Abkürzungen) des Bundeslandes, des Kantons, der Region oder des Gebiets ein, in dem bzw. der Ihr Unternehmen gesetzlich eingetragen ist.
    Ländercode Geben Sie den Namen des Landes ein, in dem Ihr Unternehmen gesetzlich eingetragen ist.
    Algorithmus für privaten Schlüssel Geben Sie den Schlüsseltyp für das Zertifikat ein (entweder RSA oder DSA).

    In der Regel wird RSA verwendet. Der Schlüsseltyp definiert den Verschlüsselungsalgorithmus für die Kommunikation zwischen den Hosts. Bei aktiviertem FIPS-Modus müssen RSA-Schlüsselgrößen größer oder gleich 2048 Bit sein.

    Hinweis: SSL VPN-Plus unterstützt nur RSA-Zertifikate.
    Schlüsselgröße Geben Sie die Schlüsselgröße in Bits ein.

    Die Mindestgröße beträgt 2048 Bits.

    Beschreibung (Optional) Geben Sie eine Beschreibung für das Zertifikat ein.
  5. Klicken Sie auf Behalten.
    Das System generiert die CSR und fügt einen neuen Eintrag mit dem Typ CSR in der Liste auf dem Bildschirm hinzu.

Ergebnisse

Wenn Sie in der Liste auf dem Bildschirm einen Eintrag mit dem Typ „CSR“ auswählen, werden die CSR-Details im Bildschirm angezeigt. Sie können die angezeigten PEM-formatierten Daten der CSR kopieren und an eine Zertifizierungsstelle (CA) übermitteln, um ein von einer Zertifizierungsstelle signiertes Zertifikat zu erhalten.

Nächste Maßnahme

Verwenden Sie die CSR, um mit einer der folgenden beiden Optionen ein Dienstzertifikat zu erstellen:

Importieren des von der Zertifizierungsstelle signierten Zertifikats, das der für ein Edge-Gateway generierten CSR entspricht

Nachdem Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) generiert und das von der Zertifizierungsstelle signierte Zertifikat basierend auf dieser CSR bezogen haben, können Sie das von der Zertifizierungsstelle signierte Zertifikat importieren, damit es vom Edge-Gateway verwendet werden kann.

Voraussetzungen

Stellen Sie sicher, dass Sie das von der Zertifizierungsstelle signierte Zertifikat erhalten haben, das der CSR entspricht. Wenn der private Schlüssel in dem von der Zertifizierungsstelle signierten Zertifikat nicht dem für die ausgewählte CSR entspricht, schlägt der Importvorgang fehl.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Wählen Sie die CSR in der Tabelle auf dem Bildschirm aus, für die Sie das von der Zertifizierungsstelle signierte Zertifikat importieren.
  4. Importieren Sie das signierte Zertifikat.
    1. Klicken Sie auf Signiertes für CSR generiertes Zertifikat.
    2. Geben Sie die PEM-Daten des von der Zertifizierungsstelle signierten Zertifikats an.
      • Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
      • Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld Signiertes Zertifikat (PEM-Format) ein.

        Fügen Sie die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzu.

    3. (Optional) Geben Sie eine Beschreibung ein.
    4. Klicken Sie auf Behalten.
      Hinweis: Wenn der private Schlüssel im von der Zertifizierungsstelle signierten Zertifikat nicht dem für die CSR, die Sie im Bildschirm „Zertifikate“ ausgewählt haben, entspricht, schlägt der Importvorgang fehl.

Ergebnisse

Das von der Zertifizierungsstelle signierte Zertifikat vom Typ „Dienstzertifikat“ wird in der Liste auf dem Bildschirm angezeigt.

Nächste Maßnahme

Fügen Sie das von der Zertifizierungsstelle signierte Zertifikat nach Bedarf dem SSL VPN-Plus- oder IPsec VPN-Tunnel hinzu. Weitere Informationen erhalten Sie unter Konfigurieren der SSL-VPN-Servereinstellungen und Angeben der globalen IPsec-VPN-Einstellungen.

Konfigurieren eines selbstsignierten Dienstzertifikats

Sie können selbstsignierte Dienstzertifikate mit Ihren Edge-Gateways konfigurieren, um diese in den zugehörigen VPN-bezogenen Funktionen zu verwenden. Sie können selbstsignierte Zertifikate erstellen, installieren und verwalten.

Falls das Dienstzertifikat im Bildschirm „Zertifikate“ verfügbar ist, können Sie dieses Dienstzertifikat angeben, wenn Sie die VPN-bezogenen Einstellungen des Edge-Gateways konfigurieren. Das VPN zeigt das angegebene Dienstzertifikat für die Clients an, die auf das VPN zugreifen.

Voraussetzungen

Vergewissern Sie sich, dass auf dem Bildschirm Zertifikate für das Edge-Gateway mindestens eine CSR verfügbar ist. Weitere Informationen finden Sie unter Generieren einer Zertifikatsignieranforderung für ein Edge-Gateway.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Wählen Sie in der Liste die CSR aus, die Sie für dieses selbstsignierte Zertifikat verwenden möchten, und klicken Sie auf Selbstsignierte CSR.
  4. Geben Sie die Anzahl der Tage ein, die das selbstsignierte Zertifikat gültig ist.
  5. Klicken Sie auf Behalten.
    Das System generiert das selbstsignierte Zertifikat und fügt einen neuen Eintrag mit dem Typ „Dienstzertifikat“ in der Liste auf dem Bildschirm hinzu.

Ergebnisse

Das selbstsignierte Zertifikat ist auf dem Edge-Gateway verfügbar. Wenn Sie in der Liste auf dem Bildschirm einen Eintrag mit dem Typ „Dienstzertifikat“ auswählen, werden die Details im Bildschirm angezeigt.

Hinzufügen eines CA-Zertifikats zum Edge-Gateway für die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten

Das Hinzufügen eines CA-Zertifikats zu einem Edge-Gateway ermöglicht die Überprüfung der Vertrauenswürdigkeit von SSL-Zertifikaten, die dem Edge-Gateway zur Authentifizierung vorgelegt werden, in der Regel die Clientzertifikate, die in VPN-Verbindungen zum Edge-Gateway verwendet werden.

In der Regel fügen Sie das Stammzertifikat Ihres Unternehmens oder Ihrer Organisation als CA-Zertifikat hinzu. Ein typischer Anwendungsfall ist SSL-VPN, bei dem Sie VPN-Clients unter Verwendung von Zertifikaten authentifizieren möchten. Clientzertifikate können an die VPN-Clients verteilt werden, und wenn die Verbindung der VPN-Clients hergestellt wird, werden dazugehörige Clientzertifikate anhand des CA-Zertifikats validiert.

Hinweis: Beim Hinzufügen eines CA-Zertifikats konfigurieren Sie in der Regel eine relevante Zertifikatswiderrufsliste (Certificate Revocation List, CRL). Die CRL schützt vor Clients, die widerrufene Zertifikate vorlegen. Weitere Informationen finden Sie unter Hinzufügen einer Zertifikatswiderrufsliste zu einem Edge-Gateway.

Voraussetzungen

Vergewissern Sie sich, dass die Daten der CA-Zertifikate im PEM-Format vorliegen. Auf der Benutzeroberfläche können Sie entweder die PEM-Daten des CA-Zertifikats einfügen oder zu einer Datei navigieren, die die Daten enthält und in Ihrem Netzwerk über das lokale System verfügbar ist.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Klicken Sie auf CA-Zertifikat.
  4. Geben Sie die Daten des CA-Zertifikats an.
    • Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
    • Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld CA-Zertifikat (PEM-Format) ein.

      Fügen Sie die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzu.

  5. (Optional) Geben Sie eine Beschreibung ein.
  6. Klicken Sie auf Behalten.

Ergebnisse

Das CA-Zertifikat vom Typ „CA-Zertifikat“ wird in der Liste auf dem Bildschirm angezeigt. Dieses CA-Zertifikat kann nun von Ihnen angegeben werden, wenn Sie die VPN-bezogenen Einstellungen des Edge-Gateways konfigurieren.

Hinzufügen einer Zertifikatswiderrufsliste zu einem Edge-Gateway

Eine Zertifikatswiderrufsliste (Certificate Revocation List, CRL) ist eine Liste digitaler Zertifikate, die laut der ausstellenden Zertifizierungsstelle (CA) widerrufen wurden. Damit können Systeme aktualisiert werden, sodass Benutzern, die diese widerrufenen Zertifikate vorlegen, nicht vertraut wird. Sie können dem Edge-Gateway CRLs hinzufügen.

Wie im Administratorhandbuch für NSX beschrieben, enthält die CRL die folgenden Elemente:

  • Die widerrufenen Zertifikate und den Grund des jeweiligen Widerrufs
  • Das jeweilige Ausstellungsdatum des Zertifikats
  • Der jeweilige Aussteller des Zertifikats
  • Ein vorgeschlagenes Datum für die nächste Freigabe

Wenn ein potenzieller Benutzer versucht, auf einen Server zuzugreifen, wird anhand des CRL-Eintrags für den bestimmten Benutzer der Zugriff zugelassen oder verweigert.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Klicken Sie auf CRL.
  4. Geben Sie die CRL-Daten an.
    • Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
    • Wenn Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld CRL (PEM-Format) ein.

      Fügen Sie die Zeilen -----BEGIN X509 CRL----- und -----END X509 CRL----- hinzu.

  5. (Optional) Geben Sie eine Beschreibung ein.
  6. Klicken Sie auf Behalten.

Ergebnisse

Die CRL wird in der Liste auf dem Bildschirm angezeigt.

Hinzufügen eines Dienstzertifikats zum Edge-Gateway

Durch Hinzufügen von Dienstzertifikaten zu einem Edge-Gateway können diese Zertifikate in den VPN-bezogenen Einstellungen des Edge-Gateways verwendet werden. Sie können ein Dienstzertifikat dem Bildschirm Zertifikate hinzufügen.

Voraussetzungen

Vergewissern Sie sich, dass das Dienstzertifikat und der dazugehörige private Schlüssel im PEM-Format vorliegen. In der Benutzeroberfläche können Sie entweder die PEM-Daten einfügen oder zu einer Datei navigieren, die die Daten enthält und in Ihrem Netzwerk vom lokalen System aus verfügbar ist.

Prozedur

  1. Öffnen Sie „Edge-Gateway-Dienste“.
    1. Klicken Sie in der oberen Navigationsleiste auf Netzwerk und dann auf Edge-Gateways.
    2. Wählen Sie das Edge-Gateway aus, das Sie bearbeiten möchten, und klicken Sie auf Dienste.
  2. Klicken Sie auf die Registerkarte Zertifikate.
  3. Klicken Sie auf Dienstzertifikat.
  4. Geben Sie die PEM-formatierten Daten des Dienstzertifikats ein.
    • Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
    • Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld Dienstzertifikat (PEM-Format) ein.

      Fügen Sie die Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- hinzu.

  5. Geben Sie die PEM-formatierten Daten des privaten Schlüssels des Zertifikats ein.
    Bei aktiviertem FIPS-Modus müssen RSA-Schlüsselgrößen größer oder gleich 2048 Bit sein.
    • Wenn sich die Daten in einer PEM-Datei auf einem System befinden, zu dem Sie navigieren können, klicken Sie auf die Schaltfläche Hochladen, um zu der Datei zu navigieren, und wählen Sie diese aus.
    • Falls Sie die PEM-Daten kopieren und einfügen können, fügen Sie sie in das Feld Privater Schlüssel (PEM-Format) ein.

      Fügen Sie die Zeilen -----BEGIN RSA PRIVATE KEY----- und -----END RSA PRIVATE KEY----- hinzu.

  6. Geben Sie die Passphrase des privaten Schlüssels ein und bestätigen Sie sie.
  7. (Optional) Geben Sie eine Beschreibung ein.
  8. Klicken Sie auf Behalten.

Ergebnisse

Das Zertifikat vom Typ „Dienstzertifikat“ wird in der Liste auf dem Bildschirm angezeigt. Dieses Dienstzertifikat kann nun von Ihnen ausgewählt werden, wenn Sie die VPN-bezogenen Einstellungen des Edge-Gateways konfigurieren.