Para habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de certificación. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

Requisitos previos

Debe estar instalado OpenSSL.

Procedimiento

  1. En la máquina Linux o Mac donde esté instalado OpenSSL, abra el archivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.
  2. Asegúrese de que dir = ..
  3. Ejecute los siguientes comandos:
    mkdir newcerts
    mkdir certs
    mkdir req
    mkdir private
    echo "01" > serial
    touch index.txt
  4. Ejecute el comando para generar un certificado firmado por la entidad de certificación:
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. En NSX Edge1, realice estos pasos:
    1. Genere una solicitud de firma del certificado (Certificate Signing Request, CSR).
      Para obtener instrucciones detalladas, consulte Configurar un certificado firmado por una entidad de certificación.
    2. Copie el contenido del archivo del correo mejorado con privacidad (Privacy-Enhanced Mail, PEM) y guárdelo en un archivo en req/edge1.req.
  6. Ejecute el siguiente comando para firmar la solicitud CSR:
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en un archivo en req/edge2.req.
  8. Ejecute el siguiente comando para firmar la solicitud CSR:
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.
  10. Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.
  11. Importe el certificado firmado (cacert.pem) a Edge1 y Edge2 como certificados firmados por la entidad de certificación.
  12. En la configuración global de IPsec para Edge1 y Edge2, seleccione el certificado PEM subido y el certificado de CA y guarde la configuración.
  13. Desplácese hasta Administrar (Manage) > Ajustes (Settings) > Certificados (Certificates). Seleccione el certificado firmado que importó y registre la cadena DN.
  14. Devuelva la cadena DN al formato C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 y Edge2.
  15. Cree sitios VPN IPsec en Edge1 y Edge2 con un identificador local y del mismo nivel como una cadena de nombre distinguido (Distinguished Name, DN) en el formato especificado.

Resultados

Compruebe el estado. Para ello, haga clic Mostrar estadísticas (Show Statistics) o Mostrar estadísticas de IPSec (Show IPSec Statistics). Haga clic en el canal para ver el estado del túnel. El estado del canal debe estar habilitado y el estado del túnel debe ser Activo (Up).