Il software NSX Data Center for vSphere nell'ambiente VMware Cloud Director consente di utilizzare certificati SSL (Secure Sockets Layer) con i tunnel SSL VPN-Plus e VPN IPsec configurati per i gateway edge.
I gateway edge nell'ambiente VMware Cloud Director supportano certificati autofirmati, certificati firmati da un'autorità di certificazione e certificati generati e firmati da un'autorità di certificazione. È possibile generare richieste di firma del certificato (CSR), importare certificati, gestire i certificati importati e creare elenchi di revoca dei certificati (CRL).
Informazioni sull'utilizzo di certificati con il virtual data center dell'organizzazione
Nel virtual data center dell'organizzazione di VMware Cloud Director è possibile gestire i certificati per le seguenti aree di rete.
- Tunnel VPN IPsec tra la rete di un virtual data center dell'organizzazione e una rete remota.
- Connessioni SSL VPN-Plus tra utenti remoti di reti private e risorse Web nel virtual data center dell'organizzazione.
- Un tunnel VPN L2 tra due gateway edge NSX Data Center for vSphere.
- I server virtuali e i server pool configurati per il bilanciamento del carico nel virtual data center dell'organizzazione.
Come utilizzare i certificati client
È possibile creare un certificato client tramite un comando CAI o una chiamata REST. È quindi possibile distribuire questo certificato agli utenti remoti, che possono installare il certificato nel proprio browser Web.
Il vantaggio principale offerto dall'implementazione di certificati client è che un certificato client di riferimento per ciascun utente remoto può essere memorizzato e confrontato con il certificato client presentato dall'utente remoto. Per impedire connessioni future da parte di un determinato utente, è possibile eliminare il certificato di riferimento dall'elenco dei certificati client del server di sicurezza. Se si elimina il certificato, le connessioni da tale utente vengono rifiutate.
Generazione di una richiesta di firma del certificato per un gateway edge
Per poter ordinare un certificato firmato da un'autorità di certificazione o creare un certificato autofirmato, è necessario generare una richiesta di firma del certificato (CSR) per il gateway edge.
Una richiesta CSR è un file codificato che è necessario generare in un gateway NSX Edge che richiede un certificato SSL. L'utilizzo di una richiesta CSR standardizza il modo in cui le società inviano le chiavi pubbliche insieme alle informazioni che identificano i nomi di tali società e i nomi dei domini.
È possibile generare la richiesta CSR con un file di chiave privata corrispondente che deve rimanere nel gateway edge. La richiesta CSR contiene la chiave pubblica corrispondente e altre informazioni quali il nome, la posizione e il nome di dominio dell'organizzazione.
Procedura
risultati
Operazioni successive
Utilizzare la richiesta CSR per creare un certificato di servizio utilizzando una di queste due opzioni:
- Trasmettere la richiesta CSR a un'autorità di certificazione per ottenere un certificato firmato da tale autorità. Quando l'autorità di certificazione invia il certificato firmato, importarlo nel sistema. Vedere Importazione del certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR generata per un gateway edge.
- Utilizzare la richiesta CSR per creare un certificato autofirmato. Vedere Configurazione di un certificato di servizio autofirmato.
Importazione del certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR generata per un gateway edge
Dopo avere generato un richiesta di firma del certificato (CSR) e avere ottenuto il certificato firmato dall'autorità di certificazione in base a tale richiesta CSR, è possibile importare il certificato firmato dall'autorità di certificazione per consentirne l'utilizzo da parte del gateway edge.
Prerequisiti
Procedura
- Aprire i servizi gateway edge.
- Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
- Selezionare il gateway edge da modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Nella tabella nella schermata, selezionare la richiesta CSR per cui si sta importando il certificato firmato dall'autorità di certificazione.
- Importare il certificato firmato.
- Fare clic su Certificato firmato generato per CSR.
- Fornire i dati PEM del certificato firmato dall'autorità di certificazione.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato firmato (formato PEM).
Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Facoltativo) Digitare una descrizione.
- Fare clic su Mantieni.
Nota: Se la chiave privata presente nel certificato firmato dall'autorità di certificazione non corrisponde a quella nella richiesta CSR selezionata nella schermata Certificati, il processo di importazione non riesce.
risultati
Operazioni successive
Collegare il certificato firmato dall'autorità di certificazione al tunnel SSL VPN-Plus o VPN IPsec in base alle esigenze. Vedere Configurazione delle impostazioni del server VPN SSL e Come specificare le impostazioni VPN IPsec globali.
Configurazione di un certificato di servizio autofirmato
È possibile configurare certificati di servizio autofirmati con i gateway edge, per utilizzarli nelle funzionalità relative alla VPN. È possibile creare, installare e gestire certificati autofirmati.
Se il certificato di servizio è disponibile nella schermata Certificati, è possibile selezionarlo quando si configurano le impostazioni relative alla VPN del gateway edge. La VPN presenta il certificato di servizio specificato ai client che accedono alla VPN.
Prerequisiti
Verificare che almeno una richiesta CSR sia disponibile nella schermata Certificati per il gateway edge. Vedere Generazione di una richiesta di firma del certificato per un gateway edge.
Procedura
risultati
Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL
L'aggiunta di un certificato CA a un gateway edge consente la verifica di attendibilità dei certificati SSL presentati al gateway edge per l'autenticazione, in genere i certificati client utilizzati nelle connessioni VPN al gateway edge.
Il certificato root della società o dell'organizzazione viene in genere aggiunto come certificato CA. Un utilizzo tipico è per VPN SSL, quando si esegue l'autenticazione dei client VPN utilizzando i certificati. I certificati client possono essere distribuiti ai client VPN e quando i client VPN si connettono, i certificati client vengono convalidati in base al certificato CA.
Prerequisiti
Verificare che i dati del certificato CA siano in formato PEM. Nell'interfaccia utente, è possibile incollare i dati PEM del certificato CA o selezionare un file che contenga i dati e sia disponibile in rete dal sistema locale.
Procedura
- Aprire i servizi gateway edge.
- Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
- Selezionare il gateway edge da modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Fare clic su Certificato CA.
- Fornire i dati del certificato CA.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato CA (formato PEM).
Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Facoltativo) Digitare una descrizione.
- Fare clic su Mantieni.
risultati
Aggiunta di un elenco di revoche di certificati a un gateway edge
Un elenco di revoche di certificati (CRL) è un elenco di certificati digitali che l'autorità di certificazione (CA) emittente afferma di avere revocato, così che i sistemi possano essere aggiornati in modo che non considerino attendibili gli utenti che presentano i certificati revocati. È possibile aggiungere CRL al gateway edge.
Come descritto nella Guida per l'amministratore di NSX, l'elenco CRL contiene i seguenti elementi:
- I certificati revocati e i motivi della revoca
- Le date di rilascio dei certificati
- Le entità che hanno emesso i certificati
- Una data proposta per la versione successiva
Quando un utente potenziale tenta di accedere a un server, il server consente o nega l'accesso in base alla voce CRL per tale utente specifico.
Procedura
- Aprire i servizi gateway edge.
- Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
- Selezionare il gateway edge da modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Fare clic su CRL.
- Fornire i dati del CRL.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo CRL (formato PEM).
Includere le righe -----BEGIN X509 CRL----- e -----END X509 CRL-----.
- (Facoltativo) Digitare una descrizione.
- Fare clic su Mantieni.
risultati
Aggiunta di un certificato di servizio al gateway edge
L'aggiunta di certificati di servizio a un gateway edge rende tali certificati disponibili per l'uso nelle impostazioni relative alla VPN del gateway edge. È possibile aggiungere un certificato di servizio nella schermata Certificati.
Prerequisiti
Procedura
risultati
Il certificato con tipo Certificato di servizio viene visualizzato nell'elenco nella schermata. È ora possibile selezionare questo certificato di servizio quando si configurano le impostazioni relative alla VPN del gateway edge.