Un VPN basé sur un certificat utilise des certificats numériques plutôt que des clés prépartagées lors de la négociation IKE.

Vous pouvez utiliser l'authentification basée sur les certificats avec un VPN basé sur les routes ou sur les stratégies.

Dans l'authentification basée sur un certificat pour les VPN IPsec, chaque point de terminaison présente un certificat lors de la négociation IKE. Les deux points de terminaison doivent partager une autorité de certification commune. Chaque point de terminaison est configuré avec des attributs de son certificat homologue (tels que le nom unique, l'ID d'e-mail, l'adresse IP présente dans le certificat), plutôt qu'une adresse IP ou un CIDR, comme identité distante.

Conditions préalables

Si vous ne disposez pas des certificats de serveur ou d'autorité de certification nécessaires dans NSX Manager, importez les certificats. Reportez-vous aux sections Importer un certificat auto-signé ou signé par une autorité de certification et Importer un certificat d'autorité de certification.

Si vous importez des certificats, vous devez créer une règle de pare-feu de passerelle de gestion qui autorise l'importation. Vérifiez auprès de votre autorité de certification pour connaître l'adresse source et le numéro de port à utiliser dans la règle.

Procédure

  1. Configurez un point de terminaison VPN local sur la passerelle SDDC et sélectionnez les certificats correspondants.
    La passerelle de calcul SDDC (T0) est provisionnée avec des points de terminaison locaux par défaut. Si vous connectez le VPN à une passerelle T1 personnalisée, vous devrez Ajouter des points de terminaison locaux à cette passerelle.

    L'ID local est dérivé du certificat associé au point de terminaison local et dépend des extensions X509v3 présentes dans le certificat. L'ID local peut être l'extension X509v3 SAN (Subject Alternative Name) ou le nom unique (DN). L'ID local n'est pas requis et l'ID spécifié est ignoré. Toutefois, pour la passerelle VPN distante, vous devez configurer l'ID local en tant qu'ID distant dans la passerelle VPN homologue.

    • Si X509v3 Subject Alternative Name est trouvé dans le certificat, l'un des autres noms de l'objet est pris comme valeur d'ID locale.
      Si le certificat contient plusieurs champs SAN, l'ordre suivant est utilisé pour sélectionner l'ID local.
      Ordre Champ SAN
      1 Adresse IP
      2 DNS
      3 Adresse e-mail

      Par exemple, si le certificat de site configuré contient les champs SAN suivants,

      X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      l'adresse IP 1.1.1.1 est alors utilisée comme ID local. Si l'adresse IP n'est pas disponible, la chaîne DNS est utilisée. Et si l'adresse IP et le DNS ne sont pas disponibles, l'adresse e-mail est utilisée.

    • Si X509v3 Subject Alternative Name n'est pas présent dans le certificat, le nom unique (DN) est utilisé comme valeur d'ID locale.

      Par exemple, si le certificat ne contient aucun champ SAN et que sa chaîne DN est

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      la chaîne DN devient alors automatiquement l'ID local. L'ID local est l'ID homologue sur le site distant.

  2. Configurez l'authentification basée sur les certificats pour le VPN.
    1. Dans le menu déroulant Mode d'autentification, sélectionnez Certificat.
    2. Dans la zone de texte Adresse IP privée distante/ID distant, entrez une valeur pour identifier le site homologue.
      L'ID distant doit être un nom unique (DN), une adresse IP, un DNS ou une adresse e-mail utilisé dans le certificat du site homologue.
      Note :

      Si le certificat du site homologue contient une adresse e-mail dans la chaîne DN, par exemple,

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      entrez la valeur ID distant en utilisant le format suivant comme exemple. 

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]