SSL VPN サーバの設定

このサーバ設定では、サービスがリスンする IP アドレスとポート、サービスの暗号リスト、およびそのサービス証明書など、SSL VPN サーバの設定を行います。NSX Data Center for vSphere Edge Gateway に接続するときに、リモートユーザーはこれらのサーバ設定と同じ IP アドレスとポートを指定します。

Edge Gateway がその外部インターフェイス上の複数のオーバーレイ IP アドレスネットワークで構成されている場合、SSL VPN サーバに対して選択した IP アドレスが、Edge Gateway のデフォルトの外部インターフェイスとは異なる可能性があります。

SSL VPN サーバの設定時に、SSL VPN トンネルで使用する暗号化アルゴリズムを選択する必要があります。1 つ以上の暗号を選択できます。選択した暗号の長所と短所を照らし合わせながら、慎重に選択します。

デフォルトでは、Edge Gateway ごとに SSL VPN トンネルのデフォルトのサーバ ID 証明書として生成されたデフォルトの自己署名証明書が使用されます。このデフォルトの証明書ではなく、[証明書] 画面でシステムに追加したデジタル証明書を使用することもできます。

前提条件

SSL VPN-Plus の設定で説明されている前提条件を満たしていることを確認します。
デフォルトとは異なるサービス証明書を使用する場合は、必要な証明書をシステムにインポートします。Edge Gateway へのサービス証明書の追加を参照してください。
SSL-VPN Plus 画面への移動。

手順

[SSL VPN-Plus] 画面で、[サーバ設定] をクリックします。
[有効] をクリックします。
ドロップダウンメニューから IP アドレスを選択します。
（オプション） TCP のポート番号を入力します。
この TCP ポート番号は、SSL クライアントインストールパッケージで使用されます。デフォルトでは、HTTPS/SSL トラフィックのデフォルトポートのポート 443 が使用されます。ポート番号が必要な場合でも、通信用の任意の TCP ポートを設定できます。
注： SSL VPN クライアントでは、ここで設定した IP アドレスとポートにリモートユーザーのクライアントシステムからアクセスできる必要があります。ポート番号をデフォルトから変更する場合は、変更後の IP アドレスとポートに対象ユーザーのシステムから確実にアクセスできるようにします。
暗号リストから暗号化方式を選択します。
サービスの Syslog のログポリシーを構成します。
デフォルトではログは有効です。ログに記録するメッセージのレベルを変更するか、ログを無効にできます。
（オプション） システムが生成したデフォルトの自己署名証明書ではなくサービス証明書を使用する場合は、[サーバ証明書を変更] をクリックし、証明書を選択して [OK] をクリックします。
[変更を保存] をクリックします。

次のタスク

注：設定した Edge Gateway の IP アドレスと TCP ポート番号にリモートユーザーがアクセスできる必要があります。この手順で設定した SSL VPN-Plus の IP アドレスとポートへのアクセスを許可する、Edge Gateway のファイアウォールルールを追加します。 NSX Data Center for vSphere Edge Gateway ファイアウォールルールの追加を参照してください。

リモートユーザーが SSL VPN-Plus を使用して接続したときにリモートユーザーに IP アドレスが割り当てられるように IP プールを追加します。NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus と使用するための IP アドレスプールの作成を参照してください。