IPSec 用の証明書認証を有効にするには、サーバ証明書と対応する CA 署名証明書をインポートする必要があります。または、OpenSSL などのオープンソースのコマンドライン ツールを使用して CA 署名証明書を生成することもできます。

前提条件

OpenSSL がインストールされている必要があります。

手順

  1. OpenSSL がインストールされた Linux または Mac マシンで、/opt/local/etc/openssl/openssl.cnf ファイルまたは /System/Library/OpenSSL/openssl.cnf ファイルを開きます。
  2. dir = . であることを確認します。
  3. 次のコマンドを実行します。 
    mkdir newcerts
mkdir certs
mkdir req
mkdir private
echo "01" > serial
touch index.txt
  4. 次のコマンドを実行して CA 署名証明書を生成します。 
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. NSX Edge1 で、次の操作を行います。
    1. 証明書署名リクエスト (CSR) を生成します。
      詳細な手順については、 CA 署名証明書の設定を参照してください。
    2. Privacy Enhanced Mail (PEM) ファイルの内容をコピーし、req/edge1.req ファイルとして保存します。
  6. 次のコマンドを実行して CSR に署名します。 
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. NSX Edge2 で CSR を生成し、PEM ファイルの内容をコピーし、req/edge2.req ファイルとして保存します。
  8. 次のコマンドを実行して CSR に署名します。 
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. certs/edge1.pem ファイルの最後にある PEM 証明書を Edge1 にアップロードします。
  10. certs/edge2.pem ファイルの最後にある PEM 証明書を Edge2 にアップロードします。
  11. 署名付き証明書 (cacert.pem) を CA 署名証明書として Edge1 と Edge2 にインポートします。
  12. Edge1 および Edge2 の IPsec グローバル設定で、アップロードした PEM 証明書と CA 証明書を選択し、設定を保存します。
  13. [管理] > [設定] > [証明書] の順に移動します。インポートした署名付き証明書を選択し、DN 文字列を記録します。
  14. DN 文字列を C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com の形式に戻し、Edge1 および Edge2 用に保存します。
  15. ローカル ID とピア ID を指定形式の識別名 (DN) 文字列として使用して、Edge1 および Edge2 で IPsec VPN サイトを作成します。

結果

状態を確認するには、[統計の表示] または [IPsec 統計の表示 (Show IPSec Statistics)] をクリックします。チャンネルをクリックしてトンネル ステータスを表示します。チャネルのステータスが「有効」で、トンネルのステータスが「稼動中」になっているはずです。