Lorsque vous utilisez l'authentification basée sur un certificat pour une session VPN IPSec, vous devez configurer les détails du certificat pour la session IPSec dans le point de terminaison local associé.
Les certificats génériques ne sont pas pris en charge pour le VPN IPSec.
Reportez-vous au workflow suivant pour plus d'informations sur la configuration des détails du certificat pour une session VPN IPSec.
Configurer l'authentification par certificat pour une session VPN IPSec
- Créez et activez un service VPN IPSec à l'aide d'une passerelle de niveau 0 ou de niveau 1 existante. Voir Ajouter un service VPN IPSec.
- Si vous ne disposez pas des certificats de serveur ou d'autorité de certification nécessaires dans NSX Manager, importez les certificats. Reportez-vous au Importer un certificat auto-signé ou signé par une autorité de certification et au Importer un certificat d'autorité de certification.
- Utilisez Ajouter des points de terminaison locaux pour créer un serveur VPN hébergé sur le routeur logique et sélectionnez les certificats correspondants.
L'ID local est dérivé du certificat associé au point de terminaison local et dépend des extensions X509v3 présentes dans le certificat. L'ID local peut être l'extension X509v3 SAN (Subject Alternative Name) ou le nom unique (DN). L'ID local n'est pas requis et l'ID spécifié est ignoré. Toutefois, pour la passerelle VPN distante, vous devez configurer l'ID local en tant qu'ID distant dans la passerelle VPN homologue.
- Si X509v3 Subject Alternative Name est trouvé dans le certificat, l'un des autres noms de l'objet est pris comme valeur d'ID locale.
Si le certificat contient plusieurs champs SAN, l'ordre suivant est utilisé pour sélectionner l'ID local.
Ordre Champ SAN 1 Adresse IP 2 DNS 3 Adresse mail Par exemple, si le certificat de site configuré contient les champs SAN suivants,
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
l'adresse IP
1.1.1.1est alors utilisée comme ID local. Si l'adresse IP n'est pas disponible, la chaîne DNS est utilisée. Et si l'adresse IP et le DNS ne sont pas disponibles, l'adresse e-mail est utilisée. - Si X509v3 Subject Alternative Name n'est pas présent dans le certificat, le nom unique (DN) est utilisé comme valeur d'ID locale.
Par exemple, si le certificat ne contient aucun champ SAN et que sa chaîne DN est
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
la chaîne DN devient alors automatiquement l'ID local. L'ID local est l'ID homologue sur le site distant.
Note : Si les détails du certificat ne sont pas correctement configurés, la session VPN risque de s'arrêter avec l'alarme Down de Authentication failed. - Si X509v3 Subject Alternative Name est trouvé dans le certificat, l'un des autres noms de l'objet est pris comme valeur d'ID locale.
- Configurez une session VPN IPSec basée sur les stratégies ou sur une route. Voir Ajouter une session IPSec basée sur les stratégies ou Ajout d'une session IPSec basée sur une route.
Assurez-vous d'avoir configuré les paramètres suivants.
- Dans le menu déroulant Mode d'autentification, sélectionnez Certificat.
- Dans la zone de texte ID distant, entrez une valeur pour identifier le site homologue.
L'ID distant doit être un nom unique (DN), une adresse IP, un DNS ou une adresse e-mail utilisé dans le certificat du site homologue.
Note :Si le certificat du site homologue contient une adresse e-mail dans la chaîne DN, par exemple,
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
entrez la valeur ID distant en utilisant le format suivant comme exemple.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]
