Durante la negociación de IKE, una VPN basada en certificados utiliza certificados digitales en lugar de claves precompartidas.

Puede utilizar la autenticación basada en certificados con una VPN basada en rutas o en directivas.

En la autenticación basada en certificados para VPN de IPsec, cada endpoint presenta un certificado durante la negociación de IKE. Ambos endpoints deben compartir una entidad de certificación (CA) común. Cada endpoint se configura con atributos de su certificado del mismo nivel (como DN, identificador de correo electrónico o dirección IP presente en el certificado), en lugar de una IP o un CIDR, como la identidad remota.

Requisitos previos

Si no tiene los certificados de servidor o los certificados de CA necesarios en NSX Manager, importe los certificados. Consulte Importar un certificado autofirmado o firmado por una CA y Importar un certificado de CA.

Si va a importar certificados, debe crear una regla de firewall de puerta de enlace de administración que permita la importación. Consulte con su entidad de certificación para averiguar la dirección de origen y el número de puerto que se deben utilizar en la regla.

Procedimiento

  1. Configure un endpoint de VPN local en la puerta de enlace del SDDC y seleccione los certificados para él.
    La puerta de enlace de cómputo del SDDC (T0) se aprovisiona con endpoints locales de forma predeterminada. Si va a conectar la VPN a una puerta de enlace T1 personalizada, deberá Agregar endpoints locales a esa puerta de enlace.

    El identificador local deriva del certificado asociado al endpoint local y depende de las extensiones X509v3 presentes en el certificado. El identificador local puede ser el nombre alternativo del sujeto (SAN) de la extensión X509v3 o el nombre distintivo (DN). El Identificador local no es obligatorio y se omite el identificador especificado en él. Sin embargo, para la puerta de enlace VPN remota, debe configurar el identificador local como identificador remoto en la puerta de enlace VPN del mismo nivel.

    • Si X509v3 Subject Alternative Name se encuentra en el certificado, se tomará una de las cadenas SAN como el valor del identificador local.
      Si el certificado tiene varios campos SAN, se utilizará el siguiente orden para seleccionar el identificador local.
      Orden Campo SAN
      1 Dirección IP
      2 DNS
      3 Dirección de correo electrónico

      Por ejemplo, si el certificado del sitio configurado tiene los siguientes campos SAN:

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:user1@company.com, IP Address:1.1.1.1

      A continuación, la dirección IP 1.1.1.1 se utilizará como identificador local. Si la dirección IP no está disponible, se utilizará la cadena DNS. Y si la dirección IP y el DNS no están disponibles, se utilizará la dirección de correo electrónico.

    • Si X509v3 Subject Alternative Name no está presente en el certificado, se utilizará el nombre distintivo (DN) como el valor del identificador local.

      Por ejemplo, si el certificado no tiene campos SAN y su cadena de DN es

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      la cadena de DN se convertirá automáticamente en el identificador local. El identificador local es el identificador del sitio remoto de mismo nivel.

  2. Configure la autenticación basada en certificados para la VPN.
    1. En el menú desplegable Modo de autenticación, seleccione Certificado.
    2. En el cuadro de texto IP privada remota/Identificador remoto, introduzca un valor para identificar el sitio del mismo nivel.
      El identificador remoto debe ser un nombre distintivo (DN), una dirección IP, un DNS o una dirección de correo electrónico que se utilice en el certificado del sitio del mismo nivel.
      Nota:

      Si el certificado para el sitio del mismo nivel contiene una dirección de correo electrónico en la cadena de DN, como en este ejemplo:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com

      Introduzca el valor del Identificador remoto con el formato del ejemplo siguiente.

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com