Una VPN basata su certificato utilizza certificati digitali anziché chiavi precondivise durante la negoziazione IKE.

È possibile utilizzare l'autenticazione basata su certificato con una VPN basata su route o basata su criteri.

Nell'autenticazione basata su certificato per le VPN IPSec, ogni endpoint presenta un certificato durante la negoziazione IKE. Entrambi gli endpoint devono condividere un'Autorità di certificazione (CA) comune. Ogni endpoint è configurato con attributi provenienti dal proprio certificato peer (come DN, ID e-mail e indirizzo IP presente nel certificato) e non con un IP o CIDR come l'identità remota.

Prerequisiti

Se in NSX Manager non sono presenti i certificati del server o i certificati CA necessari, importarli. Vedere Importazione di un certificato autofirmato o firmato da un'autorità di certificazione e Importazione di un certificato CA.

Se si stanno importando certificati, è necessario creare una regola del firewall del gateway di gestione che consenta l'importazione. Consultare l'Autorità di certificazione per individuare l'indirizzo di origine e il numero di porta da utilizzare nella regola.

Procedura

  1. Configurare un endpoint VPN locale nel gateway SDDC e selezionare i certificati per tale endpoint.
    Per impostazione predefinita, il gateway di elaborazione SDDC (T0) viene fornito con endpoint locali. Se si connette la VPN a un gateway T1 personalizzato, è necessario Aggiungere endpoint locali a tale gateway.

    L'ID locale deriva dal certificato associato all'endpoint locale e dipende dalle estensioni X509v3 presenti nel certificato. L'ID locale può essere il nome alternativo del soggetto (SAN) o il nome distinto (DN) dell'estensione X509v3. L'ID locale non è obbligatorio e l'ID specificato viene ignorato . Tuttavia, per il gateway VPN remoto, è necessario configurare l'ID locale come ID remoto nel gateway VPN peer.

    • Se il X509v3 Subject Alternative Name è presente nel certificato, come valore dell'ID locale viene utilizzato uno dei nomi alternativi del soggetto.
      Se il certificato dispone di più campi SAN, per selezionare l'ID locale viene utilizzato l'ordine seguente.
      Ordine Campo SAN
      1 Indirizzo IP
      2 DNS
      3 Indirizzo e-mail

      Ad esempio, se il certificato del sito configurato include i seguenti campi SAN,

      X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      l'indirizzo IP 1.1.1.1 viene utilizzato come ID locale. Se l'indirizzo IP non è disponibile, viene utilizzata la stringa DNS. Se l'indirizzo IP e la stringa DNS non sono disponibili, viene utilizzato l'indirizzo e-mail.

    • Se il X509v3 Subject Alternative Name non è presente nel certificato, come valore dell'ID locale viene utilizzato il nome distinto (DN).

      Ad esempio, se il certificato non include alcun campo SAN e la stringa DN è

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      la stringa DN diventa automaticamente l'ID locale. L'ID locale è l'ID peer nel sito remoto.

  2. Configurare l'autenticazione basata su certificato per la VPN.
    1. Nel menu a discesa Modalità di autenticazione selezionare Certificato.
    2. Nella casella di testo IP privato remoto/ID remoto immettere un valore per identificare il sito peer.
      L'ID remoto deve essere un nome distinto (DN), un indirizzo IP, un DNS o un indirizzo e-mail utilizzato nel certificato del sito peer.
      Nota:

      Se il certificato del sito peer contiene un indirizzo e-mail nella stringa DN, ad esempio

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      immettere il valore ID remoto utilizzando il formato indicato nell'esempio seguente. 

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]