Ein zertifikatbasiertes VPN verwendet während der IKE-Aushandlung digitale Zertifikate anstelle vorinstallierter Schlüssel.
Sie können die zertifikatbasierte Authentifizierung mit einem routenbasierten oder richtlinienbasierten VPN verwenden.
Bei der zertifikatsbasierten Authentifizierung für IPsec-VPNs zeigt jeder Endpoint während der IKE-Aushandlung ein Zertifikat an. Beide Endpoints müssen eine allgemeine Zertifizierungsstelle (CA) gemeinsam nutzen. Jeder Endpoint wird mit Attributen aus dem zugehörigen Peer-Zertifikat (wie DN, E-Mail-ID, im Zertifikat vorhandene IP-Adresse) und nicht mit einer IP oder einem CIDR als Remote-Identität konfiguriert.
Voraussetzungen
Falls Sie nicht über die erforderlichen Server- oder CA-Zertifikate in NSX Manager verfügen, importieren Sie die Zertifikate. Weitere Informationen finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats und Importieren eines CA-Zertifikats.
Beim Importieren von Zertifikaten müssen Sie eine Firewallregel für das Verwaltungs-Gateway erstellen, die den Import zulässt. Wenden Sie sich an Ihre Zertifizierungsstelle, um bitten Sie um Herausgabe der Quelladresse und Portnummer, die in der Regel verwendet werden sollen.