Il software NSX Data Center for vSphere nell'ambiente VMware Cloud Director consente di utilizzare certificati SSL (Secure Sockets Layer) con i tunnel SSL VPN-Plus e VPN IPsec configurati per i gateway edge.

I gateway edge nell'ambiente VMware Cloud Director supportano certificati autofirmati, certificati firmati da un'autorità di certificazione e certificati generati e firmati da un'autorità di certificazione. È possibile generare richieste di firma del certificato (CSR), importare certificati, gestire i certificati importati e creare elenchi di revoca dei certificati (CRL).

Informazioni sull'utilizzo di certificati con il virtual data center dell'organizzazione

Nel virtual data center dell'organizzazione di VMware Cloud Director è possibile gestire i certificati per le seguenti aree di rete.

  • Tunnel VPN IPsec tra la rete di un virtual data center dell'organizzazione e una rete remota.
  • Connessioni SSL VPN-Plus tra utenti remoti di reti private e risorse Web nel virtual data center dell'organizzazione.
  • Un tunnel VPN L2 tra due gateway edge NSX Data Center for vSphere.
  • I server virtuali e i server pool configurati per il bilanciamento del carico nel virtual data center dell'organizzazione.

Come utilizzare i certificati client

È possibile creare un certificato client tramite un comando CAI o una chiamata REST. È quindi possibile distribuire questo certificato agli utenti remoti, che possono installare il certificato nel proprio browser Web.

Il vantaggio principale offerto dall'implementazione di certificati client è che un certificato client di riferimento per ciascun utente remoto può essere memorizzato e confrontato con il certificato client presentato dall'utente remoto. Per impedire connessioni future da parte di un determinato utente, è possibile eliminare il certificato di riferimento dall'elenco dei certificati client del server di sicurezza. Se si elimina il certificato, le connessioni da tale utente vengono rifiutate.

Generazione di una richiesta di firma del certificato per un gateway edge

Per poter ordinare un certificato firmato da un'autorità di certificazione o creare un certificato autofirmato, è necessario generare una richiesta di firma del certificato (CSR) per il gateway edge.

Una richiesta CSR è un file codificato che è necessario generare in un gateway NSX Edge che richiede un certificato SSL. L'utilizzo di una richiesta CSR standardizza il modo in cui le società inviano le chiavi pubbliche insieme alle informazioni che identificano i nomi di tali società e i nomi dei domini.

È possibile generare la richiesta CSR con un file di chiave privata corrispondente che deve rimanere nel gateway edge. La richiesta CSR contiene la chiave pubblica corrispondente e altre informazioni quali il nome, la posizione e il nome di dominio dell'organizzazione.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Nella scheda Certificati fare clic su CSR.
  4. Configurare le opzioni seguenti per la richiesta CSR:
    Opzione Descrizione
    Nome comune Immettere il nome di dominio completo per l'organizzazione per cui il certificato verrà utilizzato (ad esempio, www.example.com).

    Non includere i prefissi http:// o https:// nel nome comune.

    Unità organizzativa Utilizzare questo campo per distinguere le divisioni all'interno dell'organizzazione di VMware Cloud Director a cui questo certificato è associato. Ad esempio, Ufficio tecnico o Vendite.
    Nome organizzazione Immettere il nome con cui la società è legalmente registrata.

    L'organizzazione elencata deve essere l’entità che registra legalmente il nome di dominio indicato nella richiesta di certificato.

    Località Immettere la città o la località in cui l'azienda è legalmente registrata.
    Nome stato o provincia Immettere il nome completo (senza abbreviazioni) di stato, provincia, regione o territorio in cui l'azienda è legalmente registrata.
    Codice paese Immettere il nome del paese in cui l'azienda è legalmente registrata.
    Algoritmo chiave privata Immettere il tipo di chiave, RSA o DSA, per il certificato.

    In genere si utilizza RSA. Il tipo di chiave definisce l'algoritmo di crittografia per le comunicazioni tra host. Quando è attivata la modalità FIPS, le dimensioni delle chiavi RSA devono essere maggiori o uguali a 2048 bit.

    Nota: SSL VPN-Plus supporta solo certificati RSA.
    Dimensione chiave Immettere le dimensioni della chiave in bit.

    Il valore minimo è 2048 bit.

    Descrizione (Facoltativo) Immettere una descrizione per il certificato.
  5. Fare clic su Mantieni.
    Il sistema genera la richiesta CSR e aggiunge una nuova voce con tipo CSR all'elenco nella schermata.

risultati

Quando si seleziona una voce con tipo CSR nell'elenco nella schermata, vengono visualizzati i dettagli della richiesta CSR. È possibile copiare i dati in formato PEM visualizzati della richiesta CSR e inoltrarli a un'autorità di certificazione (CA) per ottenere un certificato firmato da tale autorità.

Operazioni successive

Utilizzare la richiesta CSR per creare un certificato di servizio utilizzando una di queste due opzioni:

Importazione del certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR generata per un gateway edge

Dopo avere generato un richiesta di firma del certificato (CSR) e avere ottenuto il certificato firmato dall'autorità di certificazione in base a tale richiesta CSR, è possibile importare il certificato firmato dall'autorità di certificazione per consentirne l'utilizzo da parte del gateway edge.

Prerequisiti

Verificare di aver ottenuto il certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR. Se la chiave privata presente nel certificato firmato dall'autorità di certificazione non corrisponde a quella nella richiesta CSR selezionata, il processo di importazione non riesce.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Nella tabella nella schermata, selezionare la richiesta CSR per cui si sta importando il certificato firmato dall'autorità di certificazione.
  4. Importare il certificato firmato.
    1. Fare clic su Certificato firmato generato per CSR.
    2. Fornire i dati PEM del certificato firmato dall'autorità di certificazione.
      • Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
      • Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato firmato (formato PEM).

        Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

    3. (Facoltativo) Digitare una descrizione.
    4. Fare clic su Mantieni.
      Nota: Se la chiave privata presente nel certificato firmato dall'autorità di certificazione non corrisponde a quella nella richiesta CSR selezionata nella schermata Certificati, il processo di importazione non riesce.

risultati

Il certificato firmato dall'autorità di certificazione con tipo Certificato di servizio viene visualizzato nell'elenco nella schermata.

Operazioni successive

Collegare il certificato firmato dall'autorità di certificazione al tunnel SSL VPN-Plus o VPN IPsec in base alle esigenze. Vedere Configurazione delle impostazioni del server VPN SSL e Come specificare le impostazioni VPN IPsec globali.

Configurazione di un certificato di servizio autofirmato

È possibile configurare certificati di servizio autofirmati con i gateway edge, per utilizzarli nelle funzionalità relative alla VPN. È possibile creare, installare e gestire certificati autofirmati.

Se il certificato di servizio è disponibile nella schermata Certificati, è possibile selezionarlo quando si configurano le impostazioni relative alla VPN del gateway edge. La VPN presenta il certificato di servizio specificato ai client che accedono alla VPN.

Prerequisiti

Verificare che almeno una richiesta CSR sia disponibile nella schermata Certificati per il gateway edge. Vedere Generazione di una richiesta di firma del certificato per un gateway edge.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Nell'elenco, selezionare la richiesta di firma del certificato (CSR) che si desidera utilizzare per questo certificato autofirmato e fare clic su CSR autofirmato.
  4. Digitare il numero di giorni per cui il certificato autofirmato è valido.
  5. Fare clic su Mantieni.
    Il sistema genera il certificato autofirmato e aggiunge una nuova voce con tipo Certificato di servizio all'elenco nella schermata.

risultati

Il certificato autofirmato è disponibile nel gateway edge. Nell'elenco nella schermata, quando si seleziona una voce con tipo Certificato di servizio, i dettagli vengono visualizzati nella schermata.

Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL

L'aggiunta di un certificato CA a un gateway edge consente la verifica di attendibilità dei certificati SSL presentati al gateway edge per l'autenticazione, in genere i certificati client utilizzati nelle connessioni VPN al gateway edge.

Il certificato root della società o dell'organizzazione viene in genere aggiunto come certificato CA. Un utilizzo tipico è per VPN SSL, quando si esegue l'autenticazione dei client VPN utilizzando i certificati. I certificati client possono essere distribuiti ai client VPN e quando i client VPN si connettono, i certificati client vengono convalidati in base al certificato CA.

Nota: Quando si aggiunge un certificato CA, in genere si configura un elenco di revoche di certificati (Certificate Revocation List, CRL) pertinente. L'elenco CRL protegge dai client che presentano certificati revocati. Vedere Aggiunta di un elenco di revoche di certificati a un gateway edge.

Prerequisiti

Verificare che i dati del certificato CA siano in formato PEM. Nell'interfaccia utente, è possibile incollare i dati PEM del certificato CA o selezionare un file che contenga i dati e sia disponibile in rete dal sistema locale.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Fare clic su Certificato CA.
  4. Fornire i dati del certificato CA.
    • Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
    • Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato CA (formato PEM).

      Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  5. (Facoltativo) Digitare una descrizione.
  6. Fare clic su Mantieni.

risultati

Il certificato CA con tipo Certificato CA viene visualizzato nell'elenco nella schermata. È ora possibile specificare questo certificato CA quando si configurano le impostazioni relative alla rete VPN del gateway edge.

Aggiunta di un elenco di revoche di certificati a un gateway edge

Un elenco di revoche di certificati (CRL) è un elenco di certificati digitali che l'autorità di certificazione (CA) emittente afferma di avere revocato, così che i sistemi possano essere aggiornati in modo che non considerino attendibili gli utenti che presentano i certificati revocati. È possibile aggiungere CRL al gateway edge.

Come descritto nella Guida per l'amministratore di NSX, l'elenco CRL contiene i seguenti elementi:

  • I certificati revocati e i motivi della revoca
  • Le date di rilascio dei certificati
  • Le entità che hanno emesso i certificati
  • Una data proposta per la versione successiva

Quando un utente potenziale tenta di accedere a un server, il server consente o nega l'accesso in base alla voce CRL per tale utente specifico.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Fare clic su CRL.
  4. Fornire i dati del CRL.
    • Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
    • Se è possibile copiare e incollare i dati PEM, incollarli nel campo CRL (formato PEM).

      Includere le righe -----BEGIN X509 CRL----- e -----END X509 CRL-----.

  5. (Facoltativo) Digitare una descrizione.
  6. Fare clic su Mantieni.

risultati

L'elenco CRL viene visualizzato nell'elenco nella schermata.

Aggiunta di un certificato di servizio al gateway edge

L'aggiunta di certificati di servizio a un gateway edge rende tali certificati disponibili per l'uso nelle impostazioni relative alla VPN del gateway edge. È possibile aggiungere un certificato di servizio nella schermata Certificati.

Prerequisiti

Verificare di disporre del certificato di servizio e della relativa chiave privata in formato PEM. Nell'interfaccia utente, è possibile incollare i dati PEM o selezionare un file che contenga i dati e sia disponibile in rete dal sistema locale.

Procedura

  1. Aprire i servizi gateway edge.
    1. Nella barra di navigazione superiore fare clic su Rete e su Gateway edge.
    2. Selezionare il gateway edge da modificare e fare clic su Servizi.
  2. Fare clic sulla scheda Certificati.
  3. Fare clic su Certificato di servizio.
  4. Immettere i dati in formato PEM del certificato di servizio.
    • Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
    • Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato di servizio (formato PEM).

      Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  5. Immettere i dati in formato PEM della chiave privata del certificato.
    Quando è attivata la modalità FIPS, le dimensioni delle chiavi RSA devono essere maggiori o uguali a 2048 bit.
    • Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
    • Se è possibile copiare e incollare i dati PEM, incollarli nel campo Chiave privata (formato PEM).

      Includere le righe -----BEGIN RSA PRIVATE KEY----- e -----END RSA PRIVATE KEY-----.

  6. Immettere una passphrase della chiave privata e confermarla.
  7. (Facoltativo) Immettere una descrizione.
  8. Fare clic su Mantieni.

risultati

Il certificato con tipo Certificato di servizio viene visualizzato nell'elenco nella schermata. È ora possibile selezionare questo certificato di servizio quando si configurano le impostazioni relative alla VPN del gateway edge.