Um die Zertifikatsauthentifizierung für IPSec zu aktivieren, müssen Serverzertifikate und die entsprechenden, von einer Zertifizierungsstelle signierten Zertifikate importiert werden. Optional können Sie ein Open-Source-Befehlszeilen-Tool, wie z. B. OpenSSL, verwenden, um Zertifikate einer Zertifizierungsstelle zu generieren.

Vorbereitungen

OpenSSL muss installiert sein.

Prozedur

  1. Öffnen Sie auf einer Linux- oder Mac-Maschine, auf der OpenSSL installiert ist, die Datei: /opt/local/etc/openssl/openssl.cnf bzw. /System/Library/OpenSSL/openssl.cnf.
  2. Stellen Sie sicher, dass dir = . ausgeführt wird.
  3. Führen Sie die folgenden Befehle aus:
    mkdir newcerts
    mkdir certs
    mkdir req
    mkdir private
    echo "01" > serial
    touch index.txt
  4. Führen Sie den Befehl aus, um ein von einer Zertifizierungsstelle signiertes Zertifikat zu generieren:
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. Generieren Sie auf NSX Edge1 eine Zertifikatsignieranforderung (CSR), kopieren Sie den Inhalt der Privacy Enhanced Mail-Datei und speichern Sie ihn in einer Datei in req/edge1.req.
  6. Führen Sie den Befehl zum Signieren der Zertifikatsignieranforderung aus:
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. Generieren Sie auf NSX Edge2 eine Zertifikatsignieranforderung (CSR), kopieren Sie den Inhalt der Privacy Enhanced Mail-Datei (PEM) und speichern Sie ihn in einer Datei in req/edge2.req.
  8. Führen Sie den Befehl zum Signieren der Zertifikatsignieranforderung aus:
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. Laden Sie das PEM-Zertifikat am Ende der Datei certs/edge1.pem auf Edge1 hoch.
  10. Laden Sie das PEM-Zertifikat am Ende der Datei certs/edge2.pem auf Edge2 hoch.
  11. Laden Sie das CA-Zertifikat in der Datei cacert.pem auf Edge1 und Edge2 als ein von einer Zertifizierungsstelle signiertes Zertifikat hoch.
  12. Wählen Sie in der globalen IPSec-Konfiguration für Edge1 und Edge2 das hochgeladene PEM-Zertifikat und das hochgeladene CA-Zertifikat aus und speichern Sie die Konfiguration.
  13. Klicken Sie auf der Registerkarte Zertifikat (Certifcate) auf das hochgeladene Zertifikat und notieren Sie die DN-Zeichenfolge.
  14. Stellen Sie die DN-Zeichenfolge auf das Format C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com um und speichern Sie sie für Edge1 und Edge2.
  15. Erstellen Sie IPsec-VPN-Sites auf Edge1 und Edge2 mit der lokalen ID und der Peer-ID als DN-Zeichenfolge im angegebenen Format.

Ergebnisse

Überprüfen Sie den Status durch Klicken auf IPSec-Statistik anzeigen (Show IPsec Statistics). Klicken Sie auf den Kanal, um den Tunnelstatus anzuzeigen. Sowohl der Kanal als auch der Tunnelstatus müssten Grün angezeigt werden.