IPsec VPN の証明書ベースの認証の構成

証明書ベースの VPN では、IKE ネゴシエーション時にプリシェアードキーではなくデジタル証明書を使用します。

ルートベースまたはポリシーベースの VPN で証明書ベースの認証を使用できます。

IPsec VPN に対する証明書ベースの認証では、各エンドポイントが IKE ネゴシエーション時に証明書を提示します。両方のエンドポイントで共通の認証局 (CA) を共有する必要があります。各エンドポイントは、IP アドレスや CIDR ではなく、ピア証明書の属性（DN、E メール ID、証明書内の IP アドレスなど）をリモート ID として使用して構成されます。

前提条件

NSX Manager に必要なサーバ証明書または CA 証明書がない場合は、証明書をインポートします。自己署名証明書または CA 署名付き証明書のインポートおよびCA 証明書のインポートを参照してください。

証明書をインポートする場合は、インポートを許可する管理ゲートウェイのファイアウォールルールを作成する必要があります。ルールで使用する送信元アドレスとポート番号を認証局に確認してください。

手順

SDDC ゲートウェイでローカル VPN エンドポイントを構成し、その証明書を選択します。

SDDC コンピューティングゲートウェイ (T0) には、デフォルトでローカルエンドポイントがプロビジョニングされます。VPN をカスタム T1 ゲートウェイに接続する場合は、そのゲートウェイにローカルエンドポイントを追加する必要があります。

ローカルエンドポイントに関連する証明書から派生するローカル ID は、証明書に含まれている X509v3 拡張機能によって異なります。ローカル ID は、X509v3 拡張機能の Subject Alternative Name (SAN) または識別名 (DN) のいずれかになります。[ローカル ID] は不要です。指定した ID は無視されます。ただし、リモート VPN ゲートウェイの場合は、ピア VPN ゲートウェイでローカル ID をリモート ID として構成する必要があります。

証明書に X509v3 Subject Alternative Name がある場合、SAN 文字列の 1 つがローカル ID 値として取得されます。

証明書に複数の SAN フィールドがある場合は、次の順序でローカル ID を選択します。


順序	SAN フィールド
1	IP アドレス
2	DNS
3	メールアドレス

たとえば、構成されたサイトの証明書に次の SAN フィールドがあるとします。

X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

この場合、IP アドレス 1.1.1.1 がローカル ID として使用されます。IP アドレスが使用できない場合は、DNS 文字列が使用されます。IP アドレスと DNS が使用できない場合は、メールアドレスが使用されます。

証明書に X509v3 Subject Alternative Name が存在しない場合、識別名 (DN) がローカル ID 値として使用されます。
たとえば、証明書に SAN フィールドがなく、次の DN 文字列があるとします。
```
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
```
この場合、DN 文字列がローカル ID として自動的に使用されます。ローカル ID はリモートサイトのピア ID になります。

VPN の証明書ベースの認証を構成します。
1. [認証モード] ドロップダウンメニューから [証明書] を選択します。
2. [リモートプライベート IP アドレス/リモート ID] テキストボックスに、ピアサイトを識別する値を入力します。
  リモート ID は、ピアサイトの証明書で使用される識別名 (DN)、IP アドレス、DNS、またはメールアドレスにする必要があります。
  注：
  たとえば、次のようにピアサイトの証明書で識別名 (DN) にメールアドレスが含まれている場合、
  
  C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
  
  次の形式で [リモート ID] の値を入力します。
  
  C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]