El software NSX Data Center for vSphere en el entorno de VMware Cloud Director ofrece la capacidad de utilizar certificados de capa de sockets seguros (Secure Sockets Layer, SSL) con los túneles VPN-Plus de SSL y VPN de IPsec que se configuran para las puertas de enlace Edge.

Las puertas de enlace Edge del entorno de VMware Cloud Director admiten certificados autofirmados, certificados firmados por una entidad de certificación (Certification Authority, CA) y certificados generados y firmados por una CA. Es posible generar solicitudes de firma de certificados (Certificate Signing Request, CSR), importar los certificados, administrar los certificados importados y crear listas de revocación de certificados (Certificate Revocation List, CRL).

Acerca del uso de certificados con el centro de datos virtual de organización

Puede administrar certificados para las siguientes áreas de redes del centro de datos virtual de organización de VMware Cloud Director.

  • Los túneles VPN de IPsec entre una red de centros de datos virtuales de organización y una red remota.
  • Las conexiones VPN-Plus de SSL entre usuarios remotos con redes privadas y recursos web del centro de datos virtual de organización.
  • Un túnel VPN de 2 capas entre dos puertas de enlace Edge de NSX Data Center for vSphere.
  • Los servidores virtuales y los servidores de grupos configurados para el equilibrio de carga en el centro de datos virtual de organización.

Cómo utilizar certificados de cliente

Puede crear un certificado de cliente mediante un comando CAI o una llamada de REST. A continuación, puede distribuir este certificado a los usuarios remotos, quienes pueden instalarlo en sus navegadores web.

La ventaja principal de la implementación de certificados de cliente consiste en que se puede almacenar un certificado de cliente de referencia para cada usuario remoto y se puede comparar con el certificado de cliente que presenta el usuario remoto. Para impedir que un usuario determinado se conecte en el futuro, puede eliminar el certificado de referencia de la lista de certificados de cliente del servidor de seguridad. Al eliminar el certificado, se denegarán las conexiones de ese usuario.

Generar una solicitud de firma del certificado para una puerta de enlace Edge mediante VMware Cloud Director Tenant Portal

Para poder solicitar un certificado firmado de una entidad de certificación o crear un certificado autofirmado, es necesario generar una solicitud de firma del certificado (Certificate Signing Request, CSR) para la puerta de enlace Edge.

Una solicitud CSR es un archivo codificado que se debe generar en una puerta de enlace NSX Edge para la que se requiere un certificado SSL. El uso de una CSR estandariza la manera en que las empresas envían sus claves públicas junto con la información para identificar sus nombres de empresa y nombres de dominio.

La solicitud CSR se genera con un archivo de clave privada coincidente que se debe conservar en la puerta de enlace Edge. La solicitud CSR contiene la clave pública coincidente y otros datos, como el nombre, la ubicación y el nombre de dominio de la organización.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. En la pestaña Certificados, haga clic en CSR.
  4. Configure las siguientes opciones para la solicitud CSR:
    Opción Descripción
    Nombre común Escriba el nombre de dominio completo (FQDN) de la organización para la que planea utilizar el certificado (por ejemplo, www.ejemplo.com).

    No incluya los prefijos http:// ni https:// en el nombre común.

    Unidad de organización Utilice este campo para distinguir entre las divisiones dentro de su organización de VMware Cloud Director con las que se asocia este certificado. Por ejemplo, Ingeniería o Ventas.
    Nombre de organización Escriba el nombre con el que está registrada legalmente la empresa.

    La organización enumerada debe ser el responsable legal del registro del nombre de dominio en la solicitud de certificado.

    Localidad Escriba la ciudad o localidad donde se registró legalmente la empresa.
    Nombre del estado o de la provincia Escriba el nombre completo (no utilice abreviaturas) del estado, de la provincia, de la región o del territorio donde se registró legalmente la empresa.
    Código de país Escriba el nombre del país donde se registró legalmente la empresa.
    Algoritmo de clave privada Escriba el tipo de clave (RSA o DSA) para el certificado.

    Por lo general, se utiliza RSA. El tipo de clave define el algoritmo de cifrado para la comunicación entre los hosts. Cuando el modo FIPS está activado, el tamaño de las clave de RSA debe ser mayor o igual que 2048 bits.

    Nota: VPN-Plus de SSL admite solamente certificados RSA.
    Tamaño de clave Escriba el tamaño de la clave en bits.

    El valor mínimo es de 2048 bits.

    Descripción (Opcional) Escriba una descripción para el certificado.
  5. Haga clic en Conservar.
    El sistema generará la solicitud CSR y agregará una nueva entrada con el tipo CSR a la lista en pantalla.

Resultados

En la lista en pantalla, al seleccionar una entrada con el tipo CSR, se mostrarán los detalles de la CSR en la pantalla. Puede copiar los datos de la CSR con formato PEM que se muestran y enviarlos a una entidad de certificación (Certificate Authority, CA) para obtener un certificado firmado por CA.

Qué hacer a continuación

Utilice la solicitud CSR para crear un certificado de servicio mediante una de estas dos opciones:

Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace Edge mediante el VMware Cloud Director Tenant Portal

Después de generar una solicitud de firma del certificado (Certificate Signing Request, CSR) y obtener el certificado firmado por una entidad de certificación en función de esa CSR, puede importar el certificado firmado por CA para que lo utilice la puerta de enlace Edge en VMware Cloud Director.

Requisitos previos

Compruebe que ha obtenido el certificado firmado por CA correspondiente a la solicitud CSR. Si la clave privada en el certificado firmado por CA no coincide con la de la CSR seleccionada, se producirá un error en el proceso de importación.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. Seleccione la solicitud CSR de la tabla en pantalla para la que desea importar el certificado firmado por CA.
  4. Importe el certificado firmado.
    1. Haga clic en Certificado firmado generado para CSR.
    2. Proporcione los datos PEM del certificado firmado por CA.
      • Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
      • Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado firmado (formato PEM).

        Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

    3. (opcional) Introduzca una descripción.
    4. Haga clic en Conservar.
      Nota: Si la clave privada en el certificado firmado por CA no coincide con la de la CSR seleccionada en la pantalla Certificados, se producirá un error en el proceso de importación.

Resultados

El certificado firmado por CA con el tipo Certificado de servicio se mostrará en la lista en pantalla.

Qué hacer a continuación

Adjunte el certificado firmado por CA a los túneles VPN-Plus de SSL o VPN de IPsec según sea necesario. Consulte Configurar los ajustes del servidor VPN de SSL en una puerta de enlace Edge de NSX Data Center for vSphere mediante el VMware Cloud Director Tenant Portal y Especificar la configuración global de VPN de IPsec en una puerta de enlace Edge de NSX en el VMware Cloud Director Tenant Portal.

Configurar un certificado de servicio autofirmado mediante el VMware Cloud Director Tenant Portal

Puede configurar certificados de servicio autofirmados con las puertas de enlace Edge para utilizarlos en sus capacidades relacionadas con VPN. Puede crear, instalar y administrar certificados autofirmados.

Si el certificado de servicio se muestra en la pantalla Certificados, puede especificar ese certificado de servicio al configurar las opciones relacionadas con la VPN de la puerta de enlace Edge. VPN presenta el certificado de servicio especificado a los clientes con acceso a VPN.

Requisitos previos

Compruebe que exista al menos una CSR disponible en la pantalla Certificados para la puerta de enlace Edge. Consulte Generar una solicitud de firma del certificado para una puerta de enlace Edge mediante VMware Cloud Director Tenant Portal.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. Seleccione la CSR en la lista que desea utilizar para este certificado autofirmado y haga clic en Autofirmar CSR.
  4. Introduzca la cantidad de días que será válido el certificado autofirmado.
  5. Haga clic en Conservar.
    El sistema generará un certificado autofirmado y agregará una nueva entrada con el tipo Certificado de servicio a la lista en pantalla.

Resultados

El certificado autofirmado quedará disponible en la puerta de enlace Edge. En la lista en pantalla, al seleccionar una entrada con el tipo Certificado de servicio, se mostrarán sus detalles en la pantalla.

Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL mediante el VMware Cloud Director Tenant Portal

Al agregar un certificado de CA a una puerta de enlace Edge en VMware Cloud Director, es posible verificar la confianza de los certificados SSL que se presentan a la puerta de enlace Edge para la autenticación, por lo general, los certificados de cliente que se utilizan en las conexiones de VPN a la puerta de enlace Edge.

Por lo general, se agrega el certificado raíz de la empresa o la organización como un certificado de CA. Un uso típico es VPN de SSL, donde se deben autenticar los clientes VPN con certificados. Los certificados de cliente pueden distribuirse a los clientes VPN y, cuando los clientes VPN se conectan, se validan sus certificados de cliente con el certificado de CA.

Nota: Al agregar un certificado de CA, generalmente se configura una lista de revocación de certificados (Certificate Revocation List, CRL) relevante. La CRL protege contra los clientes que presentan certificados revocados. Consulte Agregar una lista de revocación de certificados a una puerta de enlace Edge mediante el VMware Cloud Director Tenant Portal.

Requisitos previos

Compruebe que los datos de certificado de CA se encuentran en formato PEM. En la interfaz de usuario, puede pegar los datos PEM del certificado de CA, o desplazarse hasta un archivo que contenga los datos y esté disponible en la red desde el sistema local.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. Haga clic en Certificado de CA.
  4. Proporcione los datos del certificado de CA.
    • Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
    • Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado de CA (formato PEM).

      Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

  5. (opcional) Introduzca una descripción.
  6. Haga clic en Conservar.

Resultados

El certificado de CA con el tipo Certificado de CA se mostrará en la lista en pantalla. Este certificado de CA ahora se puede especificar al configurar las opciones relacionadas con VPN de la puerta de enlace Edge.

Agregar una lista de revocación de certificados a una puerta de enlace Edge mediante el VMware Cloud Director Tenant Portal

Una lista de revocación de certificados (Certificate Revocation List, CRL) es una lista de certificados digitales que la entidad de certificación (Certificate Authority, CA) emisora asegura se han revocado, a fin de que los sistemas se puedan actualizar para que no confíen en los usuarios que presenten dichos certificados revocados a VMware Cloud Director. Puede agregar CRL a la puerta de enlace Edge.

Como se describe en la guía de administración de NSX, la CRL contiene los siguientes elementos:

  • Los certificados revocados y los motivos de la revocación
  • Las fechas de emisión de los certificados
  • Las entidades que emitieron los certificados
  • Una fecha propuesta para la próxima versión

Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el acceso basado en la entrada de CRL para ese usuario en particular.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. Haga clic en CRL.
  4. Proporcione los datos de la CRL.
    • Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
    • Si puede copiar y pegar los datos PEM, pegue los datos en el campo CRL (formato PEM).

      Incluya las líneas -----BEGIN X509 CRL----- y -----END X509 CRL-----.

  5. (opcional) Introduzca una descripción.
  6. Haga clic en Conservar.

Resultados

La CRL se mostrará en la lista en pantalla.

Agregar un certificado de servicio a la puerta de enlace Edge mediante el VMware Cloud Director Tenant Portal

Cuando se agregan certificados de servicio a una puerta de enlace Edge, dichos certificados se pueden utilizar en la configuración relacionada con VPN de la puerta de enlace Edge. Es posible agregar un certificado de servicio a la pantalla Certificados.

Requisitos previos

Compruebe que el certificado de servicio y su clave privada se encuentren en formato PEM. En la interfaz de usuario, puede pegar los datos PEM o desplazarse hasta un archivo que contenga los datos y esté disponible en la red desde el sistema local.

Procedimiento

  1. Abra los servicios de puerta de enlace Edge.
    1. En el panel de navegación principal de la izquierda, seleccione Redes y, en la barra de navegación superior de la página, seleccione Puertas de enlace Edge.
    2. Seleccione la puerta de enlace Edge que desea editar y haga clic en Servicios.
  2. Haga clic en la pestaña Certificados.
  3. Haga clic en Certificado de servicio.
  4. Introduzca los datos con formato PEM del certificado de servicio.
    • Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
    • Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado de servicio (formato PEM).

      Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.

  5. Introduzca los datos con formato PEM de la clave privada del certificado.
    Cuando el modo FIPS está activado, el tamaño de las clave de RSA debe ser mayor o igual que 2048 bits.
    • Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.
    • Si puede copiar y pegar los datos PEM, pegue los datos en el campo Clave privada (formato PEM).

      Incluya las líneas -----BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY-----.

  6. Escriba una frase de contraseña de clave privada y confírmela.
  7. (opcional) Introduzca una descripción.
  8. Haga clic en Conservar.

Resultados

El certificado con el tipo Certificado de servicio se mostrará en la lista en pantalla. Este certificado de servicio ahora se puede seleccionar al configurar las opciones relacionadas con VPN de la puerta de enlace Edge.