Wenn Sie die zertifikatbasierte Authentifizierung für eine IPSec-VPN-Sitzung verwenden, müssen Sie im zugehörigen lokalen Endpoint die Zertifikatdetails für die IPSec-Sitzung konfigurieren.
Platzhalterzertifikate werden für IPSec-VPN nicht unterstützt.
Weitere Informationen zum Konfigurieren der Zertifikatdetails für eine IPSec-VPN-Sitzung liefert der folgende Workflow.
Konfigurieren der zertifikatbasierten Authentifizierung für eine IPSec-VPN-Sitzung
- Erstellen und aktivieren Sie einen IPSec-VPN-Dienst mithilfe eines vorhandenen Tier-0- oder Tier-1-Gateways. Weitere Informationen finden Sie unter Hinzufügen eines IPSec-VPN-Dienstes.
- Falls Sie nicht über die erforderlichen Server- oder CA-Zertifikate in NSX Manager verfügen, importieren Sie die Zertifikate. Weitere Informationen finden Sie unter Importieren eines selbstsignierten oder von einer Zertifizierungsstelle signierten Zertifikats und Importieren eines CA-Zertifikats.
- Verwenden Sie Hinzufügen von lokalen Endpoints, um einen VPN-Server zu erstellen, der auf dem logischen Router gehostet wird, und wählen Sie dafür die Zertifikate aus.
Die lokale ID wird von dem Zertifikat abgeleitet, das dem lokalen Endpoint zugeordnet ist, und hängt von den im Zertifikat vorhandenen X509v3-Erweiterungen ab. Die lokale ID kann entweder der SAN (Subject Alternative Name) oder der DN (Distinguished Name) der X509v3-Erweiterung sein. Die Lokale ID ist nicht erforderlich und die dort angegebene ID wird ignoriert. Für das Remote-VPN-Gateway müssen Sie die lokale ID jedoch als Remote-ID im Peer-VPN-Gateway konfigurieren.
- Wenn der X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird eine der SAN-Zeichenfolgen als lokaler ID-Wert verwendet.
Wenn das Zertifikat mehrere SAN-Felder enthält, wird die lokale ID in der folgenden Reihenfolge ausgewählt.
Reihenfolge SAN-Feld 1 IP-Adresse 2 DNS 3 E-Mail-Adresse Wenn das konfigurierte Site-Zertifikat beispielsweise die folgenden SAN-Felder aufweist:
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
wird die IP-Adresse
1.1.1.1als lokale ID verwendet. Wenn die IP-Adresse nicht vorhanden ist, wird die DNS-Zeichenfolge verwendet. Wenn weder die IP-Adresse noch der DNS vorhanden sind, wird die E-Mail-Adresse verwendet. - Wenn der X509v3 Subject Alternative Name nicht im Zertifikat vorhanden ist, wird der DN (Distinguished Name) als lokaler ID-Wert verwendet.
Wenn das Zertifikat beispielsweise keine SAN-Felder enthält und die DN-Zeichenfolge
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
lautet, wird die DN-Zeichenfolge automatisch zur lokalen ID. Die lokale ID ist die Peer-ID auf der Remote-Site.
Hinweis: Wenn die Zertifikatdetails nicht ordnungsgemäß konfiguriert sind, kann dies dazu führen, dass die VPN-Sitzung mit dem Alarm Inaktiv für Authentifizierung fehlgeschlagen ausfällt. - Wenn der X509v3 Subject Alternative Name im Zertifikat gefunden wird, wird eine der SAN-Zeichenfolgen als lokaler ID-Wert verwendet.
- Konfigurieren Sie entweder eine richtlinienbasierte oder eine routenbasierte IPSec-VPN-Sitzung. Siehe Hinzufügen einer richtlinienbasierten IPSec-Sitzung oder Hinzufügen einer routenbasierten IPSec-Sitzung.
Stellen Sie sicher, dass die folgenden Einstellungen konfiguriert sind.
- Wählen Sie im Dropdown-Menü Authentifizierungsmodus die Option Zertifikat aus.
- Geben Sie im Textfeld Remote-ID einen Wert ein, um die Peer-Site zu identifizieren.
Die Remote-ID muss ein DN (Distinguished Name), eine IP-Adresse, ein DNS oder eine E-Mail-Adresse sein, der bzw. die im Zertifikat der Peer-Site verwendet wird.
Hinweis:Wenn das Zertifikat der Peer-Site eine E-Mail-Adresse in der DN-Zeichenfolge enthält, z. B.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
dann geben Sie den Wert für Remote-ID im gleichen Format wie in dem folgenden Beispiel ein.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]
