El software NSX Data Center for vSphere en el entorno de VMware Cloud Director ofrece la capacidad de utilizar certificados de capa de sockets seguros (Secure Sockets Layer, SSL) con los túneles VPN-Plus de SSL y VPN de IPsec que se configuran para las puertas de enlace Edge.
Las puertas de enlace Edge del entorno de VMware Cloud Director admiten certificados autofirmados, certificados firmados por una entidad de certificación (Certification Authority, CA) y certificados generados y firmados por una CA. Es posible generar solicitudes de firma de certificados (Certificate Signing Request, CSR), importar los certificados, administrar los certificados importados y crear listas de revocación de certificados (Certificate Revocation List, CRL).
Acerca del uso de certificados con el centro de datos virtual de organización
Puede administrar certificados para las siguientes áreas de redes del centro de datos virtual de organización de VMware Cloud Director.
- Los túneles VPN de IPsec entre una red de centros de datos virtuales de organización y una red remota.
- Las conexiones VPN-Plus de SSL entre usuarios remotos con redes privadas y recursos web del centro de datos virtual de organización.
- Un túnel VPN de 2 capas entre dos puertas de enlace Edge de NSX Data Center for vSphere.
- Los servidores virtuales y los servidores de grupos configurados para el equilibrio de carga en el centro de datos virtual de organización.
Cómo utilizar certificados de cliente
Puede crear un certificado de cliente mediante un comando CAI o una llamada de REST. A continuación, puede distribuir este certificado a los usuarios remotos, quienes pueden instalarlo en sus navegadores web.
La ventaja principal de la implementación de certificados de cliente consiste en que se puede almacenar un certificado de cliente de referencia para cada usuario remoto y se puede comparar con el certificado de cliente que presenta el usuario remoto. Para impedir que un usuario determinado se conecte en el futuro, puede eliminar el certificado de referencia de la lista de certificados de cliente del servidor de seguridad. Al eliminar el certificado, se denegarán las conexiones de ese usuario.
Generar una solicitud de firma de certificado para una puerta de enlace Edge
Para poder solicitar un certificado firmado de una entidad de certificación o crear un certificado autofirmado, es necesario generar una solicitud de firma del certificado (Certificate Signing Request, CSR) para la puerta de enlace Edge.
Una solicitud CSR es un archivo codificado que se debe generar en una puerta de enlace NSX Edge para la que se requiere un certificado SSL. El uso de una CSR estandariza la manera en que las empresas envían sus claves públicas junto con la información para identificar sus nombres de empresa y nombres de dominio.
La solicitud CSR se genera con un archivo de clave privada coincidente que se debe conservar en la puerta de enlace Edge. La solicitud CSR contiene la clave pública coincidente y otros datos, como el nombre, la ubicación y el nombre de dominio de la organización.
Procedimiento
Resultados
Qué hacer a continuación
Utilice la solicitud CSR para crear un certificado de servicio mediante una de estas dos opciones:
- Transmita la solicitud CSR a una entidad de certificación para obtener un certificado firmado por una CA. Cuando la entidad de certificación le envíe el certificado firmado, importe el certificado al sistema. Consulte Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace Edge.
- Utilice la solicitud CSR para crear un certificado autofirmado. Consulte Configurar un certificado de servicio autofirmado.
Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace Edge
Después de generar una solicitud de firma del certificado (Certificate Signing Request, CSR) y obtener el certificado firmado por una entidad de certificación en función de esa CSR, puede importar el certificado firmado por CA para que lo utilice la puerta de enlace Edge.
Requisitos previos
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Haga clic en la pestaña Certificados.
- Seleccione la solicitud CSR de la tabla en pantalla para la que desea importar el certificado firmado por CA.
- Importe el certificado firmado.
- Haga clic en Certificado firmado generado para CSR.
- Proporcione los datos PEM del certificado firmado por CA.
- Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
- Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado firmado (formato PEM).
Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.
- (opcional) Escribir una descripción.
- Haga clic en Conservar.
Nota: Si la clave privada en el certificado firmado por CA no coincide con la de la CSR seleccionada en la pantalla Certificados, se producirá un error en el proceso de importación.
Resultados
Qué hacer a continuación
Adjunte el certificado firmado por CA a los túneles VPN-Plus de SSL o VPN de IPsec según sea necesario. Consulte Configurar ajustes de un servidor VPN de SSL y Especificar la configuración de VPN de IPsec global.
Configurar un certificado de servicio autofirmado
Puede configurar certificados de servicio autofirmados con las puertas de enlace Edge para utilizarlos en sus capacidades relacionadas con VPN. Puede crear, instalar y administrar certificados autofirmados.
Si el certificado de servicio se muestra en la pantalla Certificados, puede especificar ese certificado de servicio al configurar las opciones relacionadas con la VPN de la puerta de enlace Edge. VPN presenta el certificado de servicio especificado a los clientes con acceso a VPN.
Requisitos previos
Compruebe que exista al menos una CSR disponible en la pantalla Certificados para la puerta de enlace Edge. Consulte Generar una solicitud de firma de certificado para una puerta de enlace Edge.
Procedimiento
Resultados
Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL
Al agregar un certificado de CA a una puerta de enlace Edge, es posible verificar la confianza de los certificados SSL que se presentan a la puerta de enlace Edge para la autenticación, por lo general, los certificados de cliente que se utilizan en las conexiones de VPN a la puerta de enlace Edge.
Por lo general, se agrega el certificado raíz de la empresa o la organización como un certificado de CA. Un uso típico es VPN de SSL, donde se deben autenticar los clientes VPN con certificados. Los certificados de cliente pueden distribuirse a los clientes VPN y, cuando los clientes VPN se conectan, se validan sus certificados de cliente con el certificado de CA.
Requisitos previos
Compruebe que los datos de certificado de CA se encuentran en formato PEM. En la interfaz de usuario, puede pegar los datos PEM del certificado de CA, o desplazarse hasta un archivo que contenga los datos y esté disponible en la red desde el sistema local.
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Haga clic en la pestaña Certificados.
- Haga clic en Certificado de CA.
- Proporcione los datos del certificado de CA.
- Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
- Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado de CA (formato PEM).
Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.
- (opcional) Escribir una descripción.
- Haga clic en Conservar.
Resultados
Agregar una lista de revocación de certificados a una puerta de enlace Edge
Una lista de revocación de certificados (Certificate Revocation List, CRL) es una lista de certificados digitales que la entidad de certificación (Certificate Authority, CA) emisora asegura se han revocado, a fin de que los sistemas se puedan actualizar para que no confíen en los usuarios que presenten dichos certificados revocados. Puede agregar CRL a la puerta de enlace Edge.
Como se describe en la guía de administración de NSX, la CRL contiene los siguientes elementos:
- Los certificados revocados y los motivos de la revocación
- Las fechas de emisión de los certificados
- Las entidades que emitieron los certificados
- Una fecha propuesta para la próxima versión
Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el acceso basado en la entrada de CRL para ese usuario en particular.
Procedimiento
- Abra los servicios de puerta de enlace Edge.
- En la barra de navegación superior, haga clic en Redes y, a continuación, haga clic en Puertas de enlace Edge.
- Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
- Haga clic en la pestaña Certificados.
- Haga clic en CRL.
- Proporcione los datos de la CRL.
- Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
- Si puede copiar y pegar los datos PEM, pegue los datos en el campo CRL (formato PEM).
Incluya las líneas -----BEGIN X509 CRL----- y -----END X509 CRL-----.
- (opcional) Escribir una descripción.
- Haga clic en Conservar.
Resultados
Agregar un certificado de servicio a la puerta de enlace Edge
Cuando se agregan certificados de servicio a una puerta de enlace Edge, dichos certificados se pueden utilizar en la configuración relacionada con VPN de la puerta de enlace Edge. Es posible agregar un certificado de servicio a la pantalla Certificados.
Requisitos previos
Procedimiento
Resultados
El certificado con el tipo Certificado de servicio se mostrará en la lista en pantalla. Este certificado de servicio ahora se puede seleccionar al configurar las opciones relacionadas con VPN de la puerta de enlace Edge.