Ein zertifikatbasiertes VPN verwendet während der IKE-Aushandlung digitale Zertifikate anstelle vorinstallierter Schlüssel.

Sie können die zertifikatbasierte Authentifizierung mit einem routenbasierten oder richtlinienbasierten VPN verwenden.

Bei der zertifikatsbasierten Authentifizierung für IPsec-VPNs zeigt jeder Endpoint während der IKE-Aushandlung ein Zertifikat an. Beide Endpoints müssen eine allgemeine Zertifizierungsstelle (CA) gemeinsam nutzen. Jeder Endpoint wird mit Attributen aus dem zugehörigen Peer-Zertifikat (wie DN, E-Mail-ID, im Zertifikat vorhandene IP-Adresse) und nicht mit einer IP oder einem CIDR als Remote-Identität konfiguriert.

Voraussetzungen

Falls Sie nicht über die erforderlichen Server- oder CA-Zertifikate in NSX Manager verfügen, importieren Sie die Zertifikate. Weitere Informationen finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats und Importieren eines CA-Zertifikats.

Beim Importieren von Zertifikaten müssen Sie eine Firewallregel für das Verwaltungs-Gateway erstellen, die den Import zulässt. Wenden Sie sich an Ihre Zertifizierungsstelle, um bitten Sie um Herausgabe der Quelladresse und Portnummer, die in der Regel verwendet werden sollen.

Prozedur

  1. Konfigurieren Sie einen lokalen VPN-Endpoint auf dem SDDC-Gateway und wählen Sie die Zertifikate dafür aus.
    Das SDDC-Computing-Gateway (T0) wird standardmäßig mit lokalen Endpoints bereitgestellt. Wenn Sie das VPN mit einem benutzerdefinierten T1-Gateway verbinden, müssen Sie die Option Lokale Endpoints hinzufügen für dieses Gateway auswählen.

    Die lokale ID wird von dem Zertifikat abgeleitet, das dem lokalen Endpoint zugeordnet ist, und hängt von den im Zertifikat vorhandenen X509v3-Erweiterungen ab. Die lokale ID kann entweder der SAN (Subject Alternative Name) oder der DN (Distinguished Name) der X509v3-Erweiterung sein. Die Lokale ID ist nicht erforderlich und die dort angegebene ID wird ignoriert. Für das Remote-VPN-Gateway müssen Sie die lokale ID jedoch als Remote-ID im Peer-VPN-Gateway konfigurieren.

    • Wenn der X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird eine der SAN-Zeichenfolgen als lokaler ID-Wert verwendet.
      Wenn das Zertifikat mehrere SAN-Felder enthält, wird die lokale ID in der folgenden Reihenfolge ausgewählt.
      Reihenfolge SAN-Feld
      1 IP-Adresse
      2 DNS
      3 E-Mail-Adresse

      Wenn das konfigurierte Site-Zertifikat beispielsweise die folgenden SAN-Felder aufweist:

      X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      wird die IP-Adresse 1.1.1.1 als lokale ID verwendet. Wenn die IP-Adresse nicht vorhanden ist, wird die DNS-Zeichenfolge verwendet. Wenn weder die IP-Adresse noch der DNS vorhanden sind, wird die E-Mail-Adresse verwendet.

    • Wenn der X509v3 Subject Alternative Name nicht im Zertifikat vorhanden ist, wird der DN (Distinguished Name) als lokaler ID-Wert verwendet.

      Wenn das Zertifikat beispielsweise keine SAN-Felder enthält und die DN-Zeichenfolge

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      lautet, wird die DN-Zeichenfolge automatisch zur lokalen ID. Die lokale ID ist die Peer-ID auf der Remote-Site.

  2. Konfigurieren Sie die zertifikatbasierte Authentifizierung für das VPN.
    1. Wählen Sie im Dropdown-Menü Authentifizierungsmodus die Option Zertifikat aus.
    2. Geben Sie im Textfeld Private Remote-IP/Remote-ID einen Wert ein, um die Peer-Site anzugeben.
      Die Remote-ID muss ein DN (Distinguished Name), eine IP-Adresse, ein DNS oder eine E-Mail-Adresse sein, der bzw. die im Zertifikat der Peer-Site verwendet wird.
      Hinweis:

      Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B.

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      dann geben Sie den Wert für Remote-ID im gleichen Format wie in dem folgenden Beispiel ein. 

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]