Para habilitar la autenticación de certificados para IPsec, deben importarse los certificados del servidor y los correspondientes certificados firmados por la entidad de certificación. También puede utilizar una herramienta de línea de comandos de código abierto, como OpenSSL, para generar certificados firmados por la entidad de certificación.

Requisitos

Debe estar instalado OpenSSL.

Procedimiento

  1. En la máquina Linux o Mac donde esté instalado OpenSSL, abra el archivo: /opt/local/etc/openssl/openssl.cnf o /System/Library/OpenSSL/openssl.cnf.
  2. Asegúrese de que dir = ..
  3. Ejecute los siguientes comandos:
    mkdir newcerts
    mkdir certs
    mkdir req
    mkdir private
    echo "01" > serial
    touch index.txt
  4. Ejecute el comando para generar un certificado firmado por la entidad de certificación:
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. En NSX Edge1, genere una solicitud CSR, copie el contenido del archivo del correo mejorado con privacidad (PEM) y guárdelo en un archivo en req/edge1.req.
  6. Ejecute el comando para firmar la solicitud CSR:
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. En NSX Edge2, genere una solicitud CSR, copie el contenido del archivo PEM y guárdelo en un archivo en req/edge2.req.
  8. Ejecute el comando para firmar la solicitud CSR:
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. Cargue el certificado PEM al final del archivo certs/edge1.pem en Edge1.
  10. Cargue el certificado PEM al final del archivo certs/edge2.pem en Edge2.
  11. Cargue el certificado de la entidad de certificación en el archivo cacert.pem en Edge1 y en Edge2 como certificados firmados por la entidad de certificación.
  12. En la configuración global de IPsec para Edge1 y Edge2 seleccione el certificado PEM cargado y el certificado de la entidad de certificación cargado y guarde la configuración.
  13. En la pestaña Certificado (Certificate), haga clic en el certificado cargado y registre la cadena DN.
  14. Devuelva la cadena DN al formato C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com y guárdela para Edge1 y Edge2.
  15. Cree sitios para IPsec VPN en Edge1 y Edge2 con un identificador de configuración regional y un identificador de mismo nivel como cadena de nombre distinguido (DN) en el formato especificado.

Resultados

Para verificar el estado, haga clic en Mostrar estadísticas de IPsec (Show IPSec Statistics). Haga clic en el canal para ver el estado del túnel. Tanto el estado del canal como el del túnel deben estar de color verde.