Cuando se utiliza la autenticación basada en certificados para una sesión de VPN de IPSec, se deben configurar los detalles del certificado para la sesión de IPSec en el endpoint local asociado.

Consulte el siguiente flujo de trabajo para obtener más información sobre cómo configurar los detalles del certificado para una sesión de VPN de IPSec.

Configurar la autenticación basada en certificados para una sesión de VPN de IPSec

  1. Cree y habilite un servicio VPN de IPSec mediante una puerta de enlace de nivel 0 o 1 existente. Consulte Agregar un servicio de VPN de IPSec.
  2. Si no tiene los certificados de servidor o los certificados de CA necesarios en NSX Manager, importe los certificados. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación y Importar un certificado de CA.
  3. Utilice Agregar endpoints locales para crear un servidor VPN alojado en el enrutador lógico y seleccione los certificados correspondientes.

    El identificador local deriva del certificado asociado al endpoint local y depende de las extensiones X509v3 presentes en el certificado. El identificador local puede ser el nombre alternativo del sujeto (SAN) de la extensión X509v3 o el nombre distintivo (DN). El Identificador local no es obligatorio y se omite el identificador especificado en él. Sin embargo, para la puerta de enlace VPN remota, debe configurar el identificador local como identificador remoto en la puerta de enlace VPN del mismo nivel.

    • Si X509v3 Subject Alternative Name se encuentra en el certificado, se tomará una de las cadenas SAN como el valor del identificador local.
      Si el certificado tiene varios campos SAN, se utilizará el siguiente orden para seleccionar el identificador local.
      Ordenar Campo SAN
      1 Dirección IP
      2 DNS
      3 Dirección de correo electrónico

      Por ejemplo, si el certificado del sitio configurado tiene los siguientes campos SAN:

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:user1@company.com, IP Address:1.1.1.1

      A continuación, la dirección IP 1.1.1.1 se utilizará como identificador local. Si la dirección IP no está disponible, se utilizará la cadena DNS. Y si la dirección IP y el DNS no están disponibles, se utilizará la dirección de correo electrónico.

    • Si X509v3 Subject Alternative Name no está presente en el certificado, se utilizará el nombre distintivo (DN) como el valor del identificador local.

      Por ejemplo, si el certificado no tiene campos SAN y su cadena de DN es

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      la cadena de DN se convertirá automáticamente en el identificador local. El identificador local es el identificador del sitio remoto de mismo nivel.

    Nota: Si los detalles del certificado no están configurados correctamente, es posible que la sesión de VPN se desactive con la alarma Inactivo de Fallo de autenticación.
  4. Configure una sesión VPN de IPSec basada en directivas o en rutas. Consulte Agregar una sesión de IPSec basada en directivas o Agregar una sesión de IPSec basada en rutas.

    Asegúrese de configurar los siguientes ajustes.

    1. En el menú desplegable Modo de autenticación, seleccione Certificado.
    2. En el cuadro de texto Identificador remoto, introduzca un valor para identificar el sitio del mismo nivel.

      El identificador remoto debe ser un nombre distintivo (DN), una dirección IP, un DNS o una dirección de correo electrónico que se utilice en el certificado del sitio del mismo nivel.

      Nota:

      Si el certificado para el sitio del mismo nivel contiene una dirección de correo electrónico en la cadena de DN, como en este ejemplo:

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com

      Introduzca el valor del Identificador remoto con el formato del ejemplo siguiente.

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com