Il software NSX Data Center for vSphere nell'ambiente VMware Cloud Director consente di utilizzare certificati SSL (Secure Sockets Layer) con i tunnel SSL VPN-Plus e VPN IPsec configurati per i gateway edge.
I gateway edge nell'ambiente VMware Cloud Director supportano certificati autofirmati, certificati firmati da un'autorità di certificazione e certificati generati e firmati da un'autorità di certificazione. È possibile generare richieste di firma del certificato (CSR), importare certificati, gestire i certificati importati e creare elenchi di revoca dei certificati (CRL).
Informazioni sull'utilizzo di certificati con il virtual data center dell'organizzazione
Nel virtual data center dell'organizzazione di VMware Cloud Director è possibile gestire i certificati per le seguenti aree di rete.
- Tunnel VPN IPsec tra la rete di un virtual data center dell'organizzazione e una rete remota.
- Connessioni SSL VPN-Plus tra utenti remoti di reti private e risorse Web nel virtual data center dell'organizzazione.
- Un tunnel VPN L2 tra due gateway edge NSX Data Center for vSphere.
- I server virtuali e i server pool configurati per il bilanciamento del carico nel virtual data center dell'organizzazione.
Come utilizzare i certificati client
È possibile creare un certificato client tramite un comando CAI o una chiamata REST. È quindi possibile distribuire questo certificato agli utenti remoti, che possono installare il certificato nel proprio browser Web.
Il vantaggio principale offerto dall'implementazione di certificati client è che un certificato client di riferimento per ciascun utente remoto può essere memorizzato e confrontato con il certificato client presentato dall'utente remoto. Per impedire connessioni future da parte di un determinato utente, è possibile eliminare il certificato di riferimento dall'elenco dei certificati client del server di sicurezza. Se si elimina il certificato, le connessioni da tale utente vengono rifiutate.
Generazione di una richiesta di firma del certificato per un gateway edge tramite il VMware Cloud Director Tenant Portal
Per poter ordinare un certificato firmato da un'autorità di certificazione o creare un certificato autofirmato, è necessario generare una richiesta di firma del certificato (CSR) per il gateway edge.
Una richiesta CSR è un file codificato che è necessario generare in un gateway NSX Edge che richiede un certificato SSL. L'utilizzo di una richiesta CSR standardizza il modo in cui le società inviano le chiavi pubbliche insieme alle informazioni che identificano i nomi di tali società e i nomi dei domini.
È possibile generare la richiesta CSR con un file di chiave privata corrispondente che deve rimanere nel gateway edge. La richiesta CSR contiene la chiave pubblica corrispondente e altre informazioni quali il nome, la posizione e il nome di dominio dell'organizzazione.
Procedura
risultati
Operazioni successive
Utilizzare la richiesta CSR per creare un certificato di servizio utilizzando una di queste due opzioni:
- Trasmettere la richiesta CSR a un'autorità di certificazione per ottenere un certificato firmato da tale autorità. Quando l'autorità di certificazione invia il certificato firmato, importarlo nel sistema. Vedere Importazione del certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR generata per un gateway edge tramite il VMware Cloud Director Tenant Portal.
- Utilizzare la richiesta CSR per creare un certificato autofirmato. Vedere Configurazione di un certificato di servizio autofirmato tramite il VMware Cloud Director Tenant Portal.
Importazione del certificato firmato dall'autorità di certificazione corrispondente alla richiesta CSR generata per un gateway edge tramite il VMware Cloud Director Tenant Portal
Dopo aver generato un richiesta di firma del certificato (CSR) e aver ottenuto il certificato firmato dall'autorità di certificazione in base a tale richiesta CSR, è possibile importare il certificato firmato dall'autorità di certificazione che verrà utilizzato dal gateway edge in VMware Cloud Director.
Prerequisiti
Procedura
- Aprire i servizi gateway edge.
- Nel riquadro di navigazione principale a sinistra, selezionare Rete e nella barra di navigazione superiore della pagina, selezionare Gateway edge.
- Selezionare il gateway edge che si desidera modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Nella tabella nella schermata, selezionare la richiesta CSR per cui si sta importando il certificato firmato dall'autorità di certificazione.
- Importare il certificato firmato.
- Fare clic su Certificato firmato generato per CSR.
- Fornire i dati PEM del certificato firmato dall'autorità di certificazione.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato firmato (formato PEM).
Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Facoltativo) Immettere una descrizione.
- Fare clic su Mantieni.
Nota: Se la chiave privata presente nel certificato firmato dall'autorità di certificazione non corrisponde a quella nella richiesta CSR selezionata nella schermata Certificati, il processo di importazione non riesce.
risultati
Operazioni successive
Collegare il certificato firmato dall'autorità di certificazione al tunnel SSL VPN-Plus o VPN IPsec in base alle esigenze. Vedere Configurazione delle impostazioni del server VPN SSL in un gateway edge di NSX Data Center for vSphere tramite il VMware Cloud Director Tenant Portal e Definizione delle impostazioni della VPN IPSec globali in un gateway edge di NSX nel VMware Cloud Director Tenant Portal.
Configurazione di un certificato di servizio autofirmato tramite il VMware Cloud Director Tenant Portal
È possibile configurare certificati di servizio autofirmati con i gateway edge, per utilizzarli nelle funzionalità relative alla VPN. È possibile creare, installare e gestire certificati autofirmati.
Se il certificato di servizio è disponibile nella schermata Certificati, è possibile selezionarlo quando si configurano le impostazioni relative alla VPN del gateway edge. La VPN presenta il certificato di servizio specificato ai client che accedono alla VPN.
Prerequisiti
Verificare che almeno una richiesta CSR sia disponibile nella schermata Certificati per il gateway edge. Vedere Generazione di una richiesta di firma del certificato per un gateway edge tramite il VMware Cloud Director Tenant Portal.
Procedura
risultati
Aggiunta di un certificato CA al gateway edge per la verifica di attendibilità dei certificati SSL tramite VMware Cloud Director Tenant Portal
L'aggiunta di un certificato CA a un gateway edge in VMware Cloud Director consente la verifica di attendibilità dei certificati SSL presentati al gateway edge per l'autenticazione, in genere i certificati client utilizzati nelle connessioni VPN al gateway edge.
Il certificato root della società o dell'organizzazione viene in genere aggiunto come certificato CA. Un utilizzo tipico è per VPN SSL, quando si esegue l'autenticazione dei client VPN utilizzando i certificati. I certificati client possono essere distribuiti ai client VPN e quando i client VPN si connettono, i certificati client vengono convalidati in base al certificato CA.
Prerequisiti
Verificare che i dati del certificato CA siano in formato PEM. Nell'interfaccia utente, è possibile incollare i dati PEM del certificato CA o selezionare un file che contenga i dati e sia disponibile in rete dal sistema locale.
Procedura
- Aprire i servizi gateway edge.
- Nel riquadro di navigazione principale a sinistra, selezionare Rete e nella barra di navigazione superiore della pagina, selezionare Gateway edge.
- Selezionare il gateway edge che si desidera modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Fare clic su Certificato CA.
- Fornire i dati del certificato CA.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo Certificato CA (formato PEM).
Includere le righe -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.
- (Facoltativo) Immettere una descrizione.
- Fare clic su Mantieni.
risultati
Aggiunta di un elenco di revoche di certificati a un gateway edge tramite il VMware Cloud Director Tenant Portal
Un elenco di revoche di certificati (CRL) è un elenco di certificati digitali che l'autorità di certificazione (CA) emittente indica di aver revocato, in modo che i sistemi non considerino attendibili gli utenti che presentano tali certificati revocati in VMware Cloud Director. È possibile aggiungere CRL al gateway edge.
Come descritto nella Guida per l'amministratore di NSX, l'elenco CRL contiene i seguenti elementi:
- I certificati revocati e i motivi della revoca
- Le date di rilascio dei certificati
- Le entità che hanno emesso i certificati
- Una data proposta per la versione successiva
Quando un utente potenziale tenta di accedere a un server, il server consente o nega l'accesso in base alla voce CRL per tale utente specifico.
Procedura
- Aprire i servizi gateway edge.
- Nel riquadro di navigazione principale a sinistra, selezionare Rete e nella barra di navigazione superiore della pagina, selezionare Gateway edge.
- Selezionare il gateway edge che si desidera modificare e fare clic su Servizi.
- Fare clic sulla scheda Certificati.
- Fare clic su CRL.
- Fornire i dati del CRL.
- Se i dati si trovano in un file PEM in un sistema accessibile, fare clic sul pulsante Carica per cercare il file e selezionarlo.
- Se è possibile copiare e incollare i dati PEM, incollarli nel campo CRL (formato PEM).
Includere le righe -----BEGIN X509 CRL----- e -----END X509 CRL-----.
- (Facoltativo) Immettere una descrizione.
- Fare clic su Mantieni.
risultati
Aggiunta di un certificato di servizio al gateway edge tramite il VMware Cloud Director Tenant Portal
L'aggiunta di certificati di servizio a un gateway edge rende tali certificati disponibili per l'uso nelle impostazioni relative alla VPN del gateway edge. È possibile aggiungere un certificato di servizio nella schermata Certificati.
Prerequisiti
Procedura
risultati
Il certificato con tipo Certificato di servizio viene visualizzato nell'elenco nella schermata. È ora possibile selezionare questo certificato di servizio quando si configurano le impostazioni relative alla VPN del gateway edge.