Le logiciel NSX Data Center for vSphere dans l'environnement VMware Cloud Director permet d'utiliser des certificats SSL (Secure Sockets Layer) avec les tunnels VPN-Plus SSL et VPN IPsec que vous configurez pour vos passerelles Edge.

Les passerelles Edge de votre environnement VMware Cloud Director prennent en charge les certificats auto-signés, les certificats signés par une autorité de certification et les certificats générés et signés par une autorité de certification. Vous pouvez générer des demandes de signature de certificat (CSR, Certificate Signing Request), importer les certificats, gérer les certificats importés et créer des listes de révocation de certificats (CRL, Certificate Revocation List).

À propos de l'utilisation de certificats avec le centre de données virtuel de votre organisation

Vous pouvez gérer les certificats pour les domaines de réseau suivants dans le centre de données virtuel de votre organisation VMware Cloud Director.

  • Tunnels VPN IPsec entre le réseau du centre de données virtuel d'une organisation et un réseau distant.
  • Connexions SSL VPN-Plus entre les utilisateurs distants à des réseaux privés et ressources Web dans le centre de données virtuel de votre organisation.
  • Tunnel VPN L2 entre deux passerelles Edge NSX Data Center for vSphere.
  • Serveurs virtuels et serveurs de pools configurés pour l'équilibrage de charge dans le centre de données virtuel de votre organisation

Utilisation des certificats clients

Vous pouvez créer un certificat client via une commande CAI ou un appel REST. Vous pouvez ensuite distribuer ce certificat à vos utilisateurs distants, qui peuvent installer le certificat sur leur navigateur Web.

L'avantage principal de l'implémentation de certificats clients réside dans le fait qu'un certificat client de référence pour chaque utilisateur distant peut être stocké et comparé au certificat client présenté par l'utilisateur distant. Afin d'empêcher un utilisateur particulier de se connecter à l'avenir, vous pouvez supprimer le certificat de référence de la liste des certificats clients du serveur de sécurité. La suppression du certificat prive cet utilisateur de toute connexion.

Générer une demande de signature de certificat pour une passerelle Edge

Pour pouvoir commander un certificat signé à une autorité de certification ou créer un certificat autosigné, vous devez générer une demande de signature de certificat (CSR) pour votre passerelle Edge.

Une demande de signature de certificat (CSR) est un fichier codé que vous devez générer sur une passerelle Edge NSX qui requiert un certificat SSL. L'utilisation d'une demande de signature de certificat (CSR) uniformise la façon dont les sociétés envoient leurs clés publiques, ainsi que les informations qui identifient leurs noms de sociétés et les noms de domaine.

Vous générez une demande de signature de certificat (CSR) avec un fichier de clé privée correspondant qui doit rester sur la passerelle Edge. La demande de signature de certificat (CSR) contient la clé publique correspondante et d'autres informations telles que le nom, l'emplacement et le nom du domaine de votre organisation.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Sous l'onglet Certificats, cliquez sur Demande de signature de certificat (CSR).
  4. Configurez les options suivantes pour la demande de signature de certificat :
    Option Description
    Nom commun Entrez le nom de domaine complet (FQDN) de l'organisation pour laquelle vous utiliserez le certificat. Par exemple, www.example.com.

    N'incluez pas le préfixe http:// ni le préfixe https:// dans votre nom commun.

    Unité d'organisation Utilisez ce champ pour différencier les divisions au sein de votre organisation VMware Cloud Director auxquelles ce certificat est associé. Par exemple, Ingénierie ou Ventes.
    Nom de l'organisation Entrez le nom sous lequel votre entreprise est juridiquement enregistrée.

    L'organisation répertoriée doit être le détenteur légal du nom de domaine dans la demande de certificat.

    Ville Entrez la ville ou la localité où votre entreprise est juridiquement enregistrée.
    Nom de l'état ou de la province Entrez le nom complet (ne pas abréger) de l'état, de la province, de la région ou du territoire où votre entreprise est juridiquement enregistrée.
    Code pays Entrez le nom du pays dans lequel votre entreprise est juridiquement enregistrée.
    Algorithme de clé privée Entrez le type de clé, RSA ou DSA, pour le certificat.

    RSA est généralement utilisé. Le type de clé définit l'algorithme de chiffrement pour la communication entre les hôtes. Lorsque le mode FIPS est activé, la taille des clés RSA doit être supérieure ou égale à 2 048 bits.

    Note : SSL VPN-Plus prend uniquement en charge les certificats RSA.
    Taille de la clé Entrez la taille de clé en bits.

    La valeur minimale est de 2 048 bits.

    Description (Facultatif) Entrez une description pour le certificat.
  5. Cliquez sur Conserver.
    Le système génère la demande de signature de certificat et ajoute une nouvelle entrée de type CSR à la liste à l'écran.

Résultats

Dans la liste à l'écran, lorsque vous sélectionnez une entrée de type CSR, ses détails sont affichés à l'écran. Vous pouvez copier les données au format PEM affichées de la demande de signature de certificat (CSR) et les soumettre à une autorité de certification (CA) pour obtenir un certificat d'autorité de certification.

Que faire ensuite

Utilisez la demande de signature de certificat pour créer un certificat de service en utilisant l'une de ces deux options :

Importer le certificat signé par une autorité de certification correspondant à la demande de signature de certificat générée pour une passerelle Edge

Après avoir généré une demande de signature de certificat (CSR) et obtenu le certificat signé par une autorité de certification sur la base de cette demande, vous pouvez importer le certificat obtenu afin que la passerelle Edge l'utilise.

Conditions préalables

Vérifiez que vous avez obtenu le certificat signé par une autorité de certification qui correspond à la demande de signature de certificat. Si la clé privée dans le certificat signé par une autorité de certification ne correspond pas à celle de la demande de signature de certificat sélectionnée, le processus d'importation échoue.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Sélectionnez la demande de signature de certificat dans le tableau à l'écran pour lequel vous importez le certificat signé par une autorité de certification.
  4. Importez le certificat signé.
    1. Cliquez sur Certificat signé généré pour la demande de signature de certificat (CSR).
    2. Fournissez les données PEM du certificat signé par une autorité de certification.
      • Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
      • Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Certificat signé (format PEM).

        Incluez les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

    3. (Facultatif) Saisir une description.
    4. Cliquez sur Conserver.
      Note : Si la clé privée du certificat signé par une autorité de certification ne correspond pas à celle de la demande de signature de certificat que vous avez sélectionnée sur l'écran Certificats, le processus d'importation échoue.

Résultats

Le certificat signé par une autorité de certification avec le type Certificat de service s'affiche dans la liste à l'écran.

Que faire ensuite

Attachez le certificat signé par une autorité de certification aux tunnels SSL VPN-Plus ou VPN IPsec selon les besoins. Reportez-vous à Configurer les paramètres du serveur SSL VPN et Spécifiez les paramètres VPN IPsec globaux.

Configuration d'un certificat de service autosigné

Vous pouvez configurer des certificats de service autosignés avec vos passerelles Edge, à utiliser dans leurs fonctionnalités liées aux VPN. Vous pouvez créer, installer et gérer des certificats autosignés.

Si le certificat de service est disponible sur l'écran Certificats, vous pouvez le spécifier lorsque vous configurez les paramètres liés au VPN de la passerelle Edge. Le VPN présente le certificat de service spécifié aux clients qui accèdent à ce réseau.

Conditions préalables

Vérifiez qu'au moins une CSR est disponible sur l'écran Certificats pour la passerelle Edge. Reportez-vous à Générer une demande de signature de certificat pour une passerelle Edge.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Sélectionnez la demande de signature de certificat (CSR) dans la liste que vous souhaitez utiliser pour ce certificat autosigné et cliquez sur Demande de signature de certificat (CSR) autosignée.
  4. Tapez le nombre de jours correspondant à la validité du certificat autosigné.
  5. Cliquez sur Conserver.
    Le système génère le certificat autosigné et ajoute une nouvelle entrée de type Certificat de service à la liste à l'écran.

Résultats

Le certificat autosigné est disponible sur la passerelle Edge. Dans la liste à l'écran, lorsque vous sélectionnez une entrée de type Certificat de service, ses détails s'affichent.

Ajouter un certificat d'autorité de certification à la passerelle Edge pour la vérification de l'approbation des certificats SSL

L'ajout d'un certificat d'autorité de certification à une passerelle Edge permet la vérification de l'approbation des certificats SSL qui sont présentés à la passerelle Edge pour authentification, généralement les certificats client utilisés dans les connexions VPN à la passerelle Edge.

Il vous est recommandé d'ajouter le certificat racine de votre entreprise ou organisation en tant que certificat d'autorité de certification. Il est généralement utilisé pour un réseau SSL VPN, lorsque vous souhaitez authentifier des clients VPN à l'aide de certificats. Les certificats client peuvent être distribués aux clients VPN et, lorsque ces derniers se connectent, leurs certificats client sont validés par rapport au certificat de l'autorité de certification.

Note : Lorsque vous ajoutez un certificat d'autorité de certification, vous configurez généralement une liste de révocation des certificats (CRL) pertinente. La liste de révocation des certificats protège contre les clients qui présentent des certificats révoqués. Reportez-vous à Ajouter une liste de révocation des certificats à une passerelle Edge.

Conditions préalables

Vérifiez que les données de certificat d'autorité de certification sont au format PEM. Dans l'interface utilisateur, vous pouvez coller les données du fichier PEM du certificat d'autorité de certification ou accéder à un fichier qui contient les données et est disponible sur votre réseau depuis votre système local.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Cliquez sur Certificat d'autorité de certification.
  4. Fournissez les données du certificat d'autorité de certification.
    • Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
    • Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Certificat d'autorité de certification (format PEM).

      Incluez les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

  5. (Facultatif) Saisir une description.
  6. Cliquez sur Conserver.

Résultats

Le certificat d'autorité de certification avec le type Certificat d'autorité de certification figure dans la liste à l'écran. Il est désormais possible de spécifier ce certificat d'autorité de certification lorsque vous configurez les paramètres liés au VPN de la passerelle Edge.

Ajouter une liste de révocation des certificats à une passerelle Edge

Une liste de révocation des certificats (CRL) est une liste de certificats numériques que l'autorité de certification (CA) émettrice déclare avoir révoqués, afin que les systèmes puissent être mis à jour pour ne pas approuver les utilisateurs qui présentent ces certificats révoqués. Vous pouvez ajouter des listes de révocation des certificats à la passerelle Edge.

Comme cela est décrit dans le Guide d'administration de NSX, la liste de révocation des certificats contient les éléments suivants :

  • Les certificats révoqués et les motifs de la révocation
  • Les dates d'émission des certificats
  • Les entités ayant émis les certificats
  • Une date proposée pour la prochaine version

Lorsqu'un utilisateur potentiel tente d'accéder à un serveur, le serveur autorise ou refuse l'accès en fonction de l'entrée de cet utilisateur dans la liste de révocation des certificats.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Cliquez sur CRL.
  4. Fournissez les données de la liste de révocation des certificats.
    • Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
    • Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Liste de révocation de certificats (format PEM).

      Incluez les lignes ---BEGIN X509 CRL--- et ---END X509 CRL---.

  5. (Facultatif) Saisir une description.
  6. Cliquez sur Conserver.

Résultats

La liste de révocation des certificats s'affiche dans la liste à l'écran.

Ajouter un certificat de service à la passerelle Edge

L'ajout de certificats de service à une passerelle Edge permet l'utilisation de ces certificats dans les paramètres liés au VPN de la passerelle Edge. Vous pouvez ajouter un certificat de service à l'écran Certificats.

Conditions préalables

Vérifiez que vous disposez du certificat de service et de sa clé privée au format PEM. Dans l'interface utilisateur, vous pouvez coller les données du fichier PEM ou accéder à un fichier qui contient les données et est disponible sur votre réseau depuis votre système local.

Procédure

  1. Ouvrez les services de passerelle Edge.
    1. Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
    2. Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
  2. Cliquez sur l'onglet Certificats.
  3. Cliquez sur Certificat de service.
  4. Entrez les données au format PEM du certificat du service.
    • Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
    • Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Certificat de service (format PEM).

      Incluez les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

  5. Entrez les données au format PEM de la clé privée du certificat.
    Lorsque le mode FIPS est activé, la taille des clés RSA doit être supérieure ou égale à 2 048 bits.
    • Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
    • Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Clé privée (format PEM).

      Incluez les lignes ---BEGIN RSA PRIVATE KEY--- et ---END RSA PRIVATE KEY---.

  6. Entrez une phrase secrète de clé privée et confirmez-la.
  7. (Facultatif) Entrez une description.
  8. Cliquez sur Conserver.

Résultats

Le certificat de type Certificat de service figure dans la liste à l'écran. Il est désormais possible de sélectionner ce certificat de service lorsque vous configurez les paramètres liés au VPN de la passerelle Edge.