Um die Zertifikatsauthentifizierung für IPSec zu aktivieren, müssen Serverzertifikate und die entsprechenden, von einer Zertifizierungsstelle signierten Zertifikate importiert werden. Optional können Sie ein Open-Source-Befehlszeilen-Tool, wie z. B. OpenSSL, verwenden, um Zertifikate einer Zertifizierungsstelle zu generieren.

Voraussetzungen

OpenSSL muss installiert sein.

Prozedur

  1. Öffnen Sie auf einer Linux- oder Mac-Maschine, auf der OpenSSL installiert ist, die Datei: /opt/local/etc/openssl/openssl.cnf bzw. /System/Library/OpenSSL/openssl.cnf.
  2. Stellen Sie sicher, dass dir = . ausgeführt wird.
  3. Führen Sie die folgenden Befehle aus: 
    mkdir newcerts
mkdir certs
mkdir req
mkdir private
echo "01" > serial
touch index.txt
  4. Führen Sie den Befehl aus, um ein von einer Zertifizierungsstelle signiertes Zertifikat zu generieren: 
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. Führen Sie für NSX-Edge1 die folgenden Schritte aus:
    1. Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) generieren
      Die detaillierten Schritte finden Sie unter Konfigurieren eines von einer Zertifizierungsstelle signierten Zertifikats.
    2. Kopieren Sie den Inhalt der Privacy Enhanced Mail-Datei (PEM) und speichern Sie ihn in einer Datei in req/edge1.req.
  6. Führen Sie den folgenden Befehl zum Signieren der CSR aus: 
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. Generieren Sie auf NSX Edge2 eine Zertifikatsignieranforderung (CSR), kopieren Sie den Inhalt der Privacy Enhanced Mail-Datei (PEM) und speichern Sie ihn in einer Datei in req/edge2.req.
  8. Führen Sie den folgenden Befehl zum Signieren der CSR aus: 
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. Laden Sie das PEM-Zertifikat am Ende der Datei certs/edge1.pem auf Edge1 hoch.
  10. Laden Sie das PEM-Zertifikat am Ende der Datei certs/edge2.pem auf Edge2 hoch.
  11. Importieren Sie das signierte Zertifikat (cacert.pem) als ein von einer Zertifizierungsstelle signiertes Zertifikat in Edge1 und Edge2.
  12. Wählen Sie in der globalen IPSec-Konfiguration für Edge1 und Edge2 das hochgeladene PEM-Zertifikat und das CA-Zertifikat aus und speichern Sie die Konfiguration.
  13. Navigieren Sie zu Verwalten > Einstellungen > Zertifikate. Wählen Sie das signierte Zertifikat aus, das Sie importiert haben, und notieren Sie die DN-Zeichenfolge
  14. Stellen Sie die DN-Zeichenfolge auf das Format C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com um und speichern Sie sie für Edge1 und Edge2.
  15. Erstellen Sie IPSec-VPN-Sites auf Edge1 und Edge2 mit der lokalen ID und der Peer-ID als DN-Zeichenfolge im angegebenen Format.

Ergebnisse

Überprüfen Sie den Status durch Klicken auf Statistik anzeigen oder IPSec-Statistik anzeigen (Show IPSec Statistics). Klicken Sie auf den Kanal, um den Tunnelstatus anzuzeigen. Der Kanalstatus muss aktiviert sein, ebenso wie der Tunnelstatus.