Quando si utilizza l'autenticazione basata su certificato per una sessione VPN IPSec, è necessario configurare i dettagli del certificato per la sessione IPSec nell'endpoint locale associato.
I certificati con caratteri jolly non sono supportati per VPN IPSec.
Fare riferimento al workflow seguente per informazioni dettagliate su come configurare i dettagli del certificato per una sessione VPN IPSec.
Configurazione dell'autenticazione basata su certificato per una sessione VPN IPSec
- Creare e abilitare un servizio VPN IPSec utilizzando un gateway di livello 0 o 1 esistente. Vedere Aggiunta di un servizio VPN IPSec.
- Se in NSX Manager non sono presenti i certificati del server o i certificati CA necessari, importarli. Vedere Importazione di un certificato autofirmato o firmato da un'autorità di certificazione e Importazione di un certificato CA.
- Utilizzare Aggiunta di endpoint locali per creare un server VPN ospitato nel router logico e selezionare i certificati per tale server.
L'ID locale deriva dal certificato associato all'endpoint locale e dipende dalle estensioni X509v3 presenti nel certificato. L'ID locale può essere il nome alternativo del soggetto (SAN) o il nome distinto (DN) dell'estensione X509v3. L'ID locale non è obbligatorio e l'ID specificato viene ignorato . Tuttavia, per il gateway VPN remoto, è necessario configurare l'ID locale come ID remoto nel gateway VPN peer.
- Se il X509v3 Subject Alternative Name è presente nel certificato, come valore dell'ID locale viene utilizzato uno dei nomi alternativi del soggetto.
Se il certificato dispone di più campi SAN, per selezionare l'ID locale viene utilizzato l'ordine seguente.
Ordine Campo SAN 1 Indirizzo IP 2 DNS 3 Indirizzo e-mail Ad esempio, se il certificato del sito configurato include i seguenti campi SAN,
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
l'indirizzo IP
1.1.1.1
viene utilizzato come ID locale. Se l'indirizzo IP non è disponibile, viene utilizzata la stringa DNS. Se l'indirizzo IP e la stringa DNS non sono disponibili, viene utilizzato l'indirizzo e-mail. - Se il X509v3 Subject Alternative Name non è presente nel certificato, come valore dell'ID locale viene utilizzato il nome distinto (DN).
Ad esempio, se il certificato non include alcun campo SAN e la stringa DN è
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
la stringa DN diventa automaticamente l'ID locale. L'ID locale è l'ID peer nel sito remoto.
Nota: Se i dettagli del certificato non sono configurati correttamente, è possibile che la sessione VPN diventi inattiva con l'avviso Inattivo di Autenticazione non riuscita. - Se il X509v3 Subject Alternative Name è presente nel certificato, come valore dell'ID locale viene utilizzato uno dei nomi alternativi del soggetto.
- Configurare una sessione VPN IPSec basata su criteri o basata su route. Vedere Aggiunta di una sessione IPSec basata su criteri o Aggiunta di una sessione IPSec basata su route.
Assicurarsi di configurare le impostazioni seguenti.
- Nel menu a discesa Modalità di autenticazione selezionare Certificato.
- Nella casella di testo ID remoto immettere un valore per identificare il sito peer.
L'ID remoto deve essere un nome distinto (DN), un indirizzo IP, un DNS o un indirizzo e-mail utilizzato nel certificato del sito peer.
Nota:Se il certificato del sito peer contiene un indirizzo e-mail nella stringa DN, ad esempio
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
immettere il valore ID remoto utilizzando il formato indicato nell'esempio seguente.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]