Le logiciel NSX Data Center for vSphere dans l'environnement VMware Cloud Director permet d'utiliser des certificats SSL (Secure Sockets Layer) avec les tunnels VPN-Plus SSL et VPN IPsec que vous configurez pour vos passerelles Edge.
Les passerelles Edge de votre environnement VMware Cloud Director prennent en charge les certificats auto-signés, les certificats signés par une autorité de certification et les certificats générés et signés par une autorité de certification. Vous pouvez générer des demandes de signature de certificat (CSR, Certificate Signing Request), importer les certificats, gérer les certificats importés et créer des listes de révocation de certificats (CRL, Certificate Revocation List).
À propos de l'utilisation de certificats avec le centre de données virtuel de votre organisation
Vous pouvez gérer les certificats pour les domaines de réseau suivants dans le centre de données virtuel de votre organisation VMware Cloud Director.
- Tunnels VPN IPsec entre le réseau du centre de données virtuel d'une organisation et un réseau distant.
- Connexions SSL VPN-Plus entre les utilisateurs distants à des réseaux privés et ressources Web dans le centre de données virtuel de votre organisation.
- Tunnel VPN L2 entre deux passerelles Edge NSX Data Center for vSphere.
- Serveurs virtuels et serveurs de pools configurés pour l'équilibrage de charge dans le centre de données virtuel de votre organisation
Utilisation des certificats clients
Vous pouvez créer un certificat client via une commande CAI ou un appel REST. Vous pouvez ensuite distribuer ce certificat à vos utilisateurs distants, qui peuvent installer le certificat sur leur navigateur Web.
L'avantage principal de l'implémentation de certificats clients réside dans le fait qu'un certificat client de référence pour chaque utilisateur distant peut être stocké et comparé au certificat client présenté par l'utilisateur distant. Afin d'empêcher un utilisateur particulier de se connecter à l'avenir, vous pouvez supprimer le certificat de référence de la liste des certificats clients du serveur de sécurité. La suppression du certificat prive cet utilisateur de toute connexion.
Générer une demande de signature de certificat pour une passerelle Edge
Pour pouvoir commander un certificat signé à une autorité de certification ou créer un certificat autosigné, vous devez générer une demande de signature de certificat (CSR) pour votre passerelle Edge.
Une demande de signature de certificat (CSR) est un fichier codé que vous devez générer sur une passerelle Edge NSX qui requiert un certificat SSL. L'utilisation d'une demande de signature de certificat (CSR) uniformise la façon dont les sociétés envoient leurs clés publiques, ainsi que les informations qui identifient leurs noms de sociétés et les noms de domaine.
Vous générez une demande de signature de certificat (CSR) avec un fichier de clé privée correspondant qui doit rester sur la passerelle Edge. La demande de signature de certificat (CSR) contient la clé publique correspondante et d'autres informations telles que le nom, l'emplacement et le nom du domaine de votre organisation.
Procédure
Résultats
Que faire ensuite
Utilisez la demande de signature de certificat pour créer un certificat de service en utilisant l'une de ces deux options :
- Transmettez la demande CSR à une autorité de certification pour obtenir un certificat signé par une autorité de certification. Lorsque l'autorité de certification vous envoie le certificat signé, importez-le dans le système. Reportez-vous à Importer le certificat signé par une autorité de certification correspondant à la demande de signature de certificat générée pour une passerelle Edge.
- Utilisez la demande de signature de certificat pour créer un certificat autosigné. Reportez-vous à Configuration d'un certificat de service autosigné.
Importer le certificat signé par une autorité de certification correspondant à la demande de signature de certificat générée pour une passerelle Edge
Après avoir généré une demande de signature de certificat (CSR) et obtenu le certificat signé par une autorité de certification sur la base de cette demande, vous pouvez importer le certificat obtenu afin que la passerelle Edge l'utilise.
Conditions préalables
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
- Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
- Cliquez sur l'onglet Certificats.
- Sélectionnez la demande de signature de certificat dans le tableau à l'écran pour lequel vous importez le certificat signé par une autorité de certification.
- Importez le certificat signé.
- Cliquez sur Certificat signé généré pour la demande de signature de certificat (CSR).
- Fournissez les données PEM du certificat signé par une autorité de certification.
- Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
- Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Certificat signé (format PEM).
Incluez les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.
- (Facultatif) Saisir une description.
- Cliquez sur Conserver.
Note : Si la clé privée du certificat signé par une autorité de certification ne correspond pas à celle de la demande de signature de certificat que vous avez sélectionnée sur l'écran Certificats, le processus d'importation échoue.
Résultats
Que faire ensuite
Attachez le certificat signé par une autorité de certification aux tunnels SSL VPN-Plus ou VPN IPsec selon les besoins. Reportez-vous à Configurer les paramètres du serveur SSL VPN et Spécifiez les paramètres VPN IPsec globaux.
Configuration d'un certificat de service autosigné
Vous pouvez configurer des certificats de service autosignés avec vos passerelles Edge, à utiliser dans leurs fonctionnalités liées aux VPN. Vous pouvez créer, installer et gérer des certificats autosignés.
Si le certificat de service est disponible sur l'écran Certificats, vous pouvez le spécifier lorsque vous configurez les paramètres liés au VPN de la passerelle Edge. Le VPN présente le certificat de service spécifié aux clients qui accèdent à ce réseau.
Conditions préalables
Vérifiez qu'au moins une CSR est disponible sur l'écran Certificats pour la passerelle Edge. Reportez-vous à Générer une demande de signature de certificat pour une passerelle Edge.
Procédure
Résultats
Ajouter un certificat d'autorité de certification à la passerelle Edge pour la vérification de l'approbation des certificats SSL
L'ajout d'un certificat d'autorité de certification à une passerelle Edge permet la vérification de l'approbation des certificats SSL qui sont présentés à la passerelle Edge pour authentification, généralement les certificats client utilisés dans les connexions VPN à la passerelle Edge.
Il vous est recommandé d'ajouter le certificat racine de votre entreprise ou organisation en tant que certificat d'autorité de certification. Il est généralement utilisé pour un réseau SSL VPN, lorsque vous souhaitez authentifier des clients VPN à l'aide de certificats. Les certificats client peuvent être distribués aux clients VPN et, lorsque ces derniers se connectent, leurs certificats client sont validés par rapport au certificat de l'autorité de certification.
Conditions préalables
Vérifiez que les données de certificat d'autorité de certification sont au format PEM. Dans l'interface utilisateur, vous pouvez coller les données du fichier PEM du certificat d'autorité de certification ou accéder à un fichier qui contient les données et est disponible sur votre réseau depuis votre système local.
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
- Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
- Cliquez sur l'onglet Certificats.
- Cliquez sur Certificat d'autorité de certification.
- Fournissez les données du certificat d'autorité de certification.
- Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
- Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Certificat d'autorité de certification (format PEM).
Incluez les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.
- (Facultatif) Saisir une description.
- Cliquez sur Conserver.
Résultats
Ajouter une liste de révocation des certificats à une passerelle Edge
Une liste de révocation des certificats (CRL) est une liste de certificats numériques que l'autorité de certification (CA) émettrice déclare avoir révoqués, afin que les systèmes puissent être mis à jour pour ne pas approuver les utilisateurs qui présentent ces certificats révoqués. Vous pouvez ajouter des listes de révocation des certificats à la passerelle Edge.
Comme cela est décrit dans le Guide d'administration de NSX, la liste de révocation des certificats contient les éléments suivants :
- Les certificats révoqués et les motifs de la révocation
- Les dates d'émission des certificats
- Les entités ayant émis les certificats
- Une date proposée pour la prochaine version
Lorsqu'un utilisateur potentiel tente d'accéder à un serveur, le serveur autorise ou refuse l'accès en fonction de l'entrée de cet utilisateur dans la liste de révocation des certificats.
Procédure
- Ouvrez les services de passerelle Edge.
- Dans la barre de navigation supérieure, cliquez sur Mise en réseau, puis sur Passerelles Edge.
- Sélectionnez la passerelle Edge à modifier, puis cliquez sur Services.
- Cliquez sur l'onglet Certificats.
- Cliquez sur CRL.
- Fournissez les données de la liste de révocation des certificats.
- Si les données se trouvent dans un fichier PEM sur un système auquel vous pouvez accéder, cliquez sur le bouton Télécharger pour accéder au fichier et sélectionnez-le.
- Si vous pouvez copier et coller les données du fichier PEM, collez-les dans le champ Liste de révocation de certificats (format PEM).
Incluez les lignes ---BEGIN X509 CRL--- et ---END X509 CRL---.
- (Facultatif) Saisir une description.
- Cliquez sur Conserver.
Résultats
Ajouter un certificat de service à la passerelle Edge
L'ajout de certificats de service à une passerelle Edge permet l'utilisation de ces certificats dans les paramètres liés au VPN de la passerelle Edge. Vous pouvez ajouter un certificat de service à l'écran Certificats.
Conditions préalables
Procédure
Résultats
Le certificat de type Certificat de service figure dans la liste à l'écran. Il est désormais possible de sélectionner ce certificat de service lorsque vous configurez les paramètres liés au VPN de la passerelle Edge.