IPsec VPN セッションに証明書ベースの認証を使用する場合は、関連付けられたローカル エンドポイントで IPsec セッションの証明書の詳細を構成する必要があります。
ワイルドカード証明書は、IPsec VPN でサポートされていません。
IPsec VPN セッションの証明書の詳細を構成する方法の詳細については、次のワークフローを参照してください。
IPsec VPN セッションの証明書ベースの認証の構成
- 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを作成し、有効にします。IPsec VPN サービスの追加を参照してください。
- NSX Manager に必要なサーバ証明書または CA 証明書がない場合は、証明書をインポートします。自己署名証明書または CA 署名付き証明書のインポートおよびCA 証明書のインポートを参照してください。
- ローカル エンドポイントの追加 を使用して、論理ルーターにホストされる VPN サーバを作成し、そのサーバの証明書を選択します。
ローカル エンドポイントに関連する証明書から派生するローカル ID は、証明書に含まれている X509v3 拡張機能によって異なります。ローカル ID は、X509v3 拡張機能の Subject Alternative Name (SAN) または識別名 (DN) のいずれかになります。[ローカル ID] は不要です。指定した ID は無視されます。ただし、リモート VPN ゲートウェイの場合は、ピア VPN ゲートウェイでローカル ID をリモート ID として構成する必要があります。
- 証明書に X509v3 Subject Alternative Name がある場合、SAN 文字列の 1 つがローカル ID 値として取得されます。
証明書に複数の SAN フィールドがある場合は、次の順序でローカル ID を選択します。
順序 SAN フィールド 1 IP アドレス 2 DNS 3 メール アドレス たとえば、構成されたサイトの証明書に次の SAN フィールドがあるとします。
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
この場合、IP アドレス
1.1.1.1
がローカル ID として使用されます。IP アドレスが使用できない場合は、DNS 文字列が使用されます。IP アドレスと DNS が使用できない場合は、メール アドレスが使用されます。 - 証明書に X509v3 Subject Alternative Name が存在しない場合、識別名 (DN) がローカル ID 値として使用されます。
たとえば、証明書に SAN フィールドがなく、次の DN 文字列があるとします。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
この場合、DN 文字列がローカル ID として自動的に使用されます。ローカル ID はリモート サイトのピア ID になります。
注: 証明書の詳細が正しく構成されていないと、VPN セッションが停止し、 Authentication に 停止アラームが表示されることがあります。 - 証明書に X509v3 Subject Alternative Name がある場合、SAN 文字列の 1 つがローカル ID 値として取得されます。
- ポリシーベースまたはルートベースの IPsec VPN セッションを構成します。ポリシーベース IPsec セッションの追加またはルートベース IPsec セッションの追加を参照してください。
必ず、次のように構成します。
- [認証モード] ドロップダウン メニューから [証明書] を選択します。
- [リモート ID] テキスト ボックスに、ピア サイトを識別する値を入力します。
リモート ID は、ピア サイトの証明書で使用される識別名 (DN)、IP アドレス、DNS、またはメール アドレスにする必要があります。
注:たとえば、次のようにピア サイトの証明書で識別名 (DN) にメール アドレスが含まれている場合、
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
次の形式で [リモート ID] の値を入力します。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]