Pour activer l'authentification des certificats pour IPSec, vous devez importer les certificats du serveur et les certificats signés par une autorité de certification correspondants. Si vous le souhaitez, vous pouvez utiliser un outil de ligne de commande open source tel qu'OpenSSL pour générer des certificats signés par une autorité de certification.

Conditions préalables

OpenSSL doit être installé.

Procédure

  1. Sur une machine Linux ou Mac équipée d'OpenSSL, ouvrez le fichier /opt/local/etc/openssl/openssl.cnf ou /System/Library/OpenSSL/openssl.cnf.
  2. Vérifiez que dir = ..
  3. Exécutez les commandes suivantes : 
    mkdir newcerts
mkdir certs
mkdir req
mkdir private
echo "01" > serial
touch index.txt
  4. Exécutez la commande permettant de générer un certificat signé par une autorité de certification : 
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. Sur NSX Edge1, procédez comme suit :
    1. Générez une demande de signature de certificat (CSR).
      Pour connaître les étapes détaillées, reportez-vous à la section Configurer un certificat signé par une autorité de certification.
    2. Copiez le contenu du fichier PEM (privacy-enhanced mail) et enregistrez-le dans un fichier dans req/edge1.req.
  6. Exécutez la commande suivante pour signer la CSR : 
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. Sur NSX Edge2, générez une CSR, copiez le contenu du fichier PEM et enregistrez-le dans un fichier dans req/edge2.req.
  8. Exécutez la commande suivante pour signer la CSR : 
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. Téléchargez le certificat PEM qui se trouve à la fin du fichier certs/edge1.pem vers Edge1.
  10. Téléchargez le certificat PEM qui se trouve à la fin du fichier certs/edge2.pem vers Edge2.
  11. Importez le certificat signé (cacert.pem) et tant que certificat signé par une autorité de certification vers Edge1 et Edge2.
  12. Dans la configuration globale d'IPSec pour Edge1 et Edge2, sélectionnez le certificat PEM et le certificat CA téléchargés, et enregistrez la configuration.
  13. Accédez à Gérer > Paramètres > Certificats. Sélectionnez le certificat signé que vous avez importé et enregistrez la chaîne DN.
  14. Rétablissez la chaîne DN au format C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com et enregistrez-la pour Edge1 et Edge2.
  15. Créez des sites VPN IPsec sur Edge1 et Edge2 en utilisant l'ID local et l'ID homologue comme chaîne de nom unique (DN) au format spécifié.

Résultats

Vérifiez l'état en cliquant sur Afficher les statistiques ou sur Afficher les statistiques IPSec (Show IPSec Statistics). Cliquez sur le canal pour consulter le statut du tunnel. L'état du canal doit être activé et l'état du tunnel doit être Actif.