IPsec VPN セッションに証明書ベースの認証を使用する場合は、関連付けられたローカル エンドポイントで IPsec セッションの証明書の詳細を構成する必要があります。

注:

ワイルドカード証明書は、IPsec VPN でサポートされていません。

IPsec VPN セッションの証明書の詳細を構成する方法の詳細については、次のワークフローを参照してください。

IPsec VPN セッションの証明書ベースの認証の構成

  1. 既存の Tier-0 または Tier-1 ゲートウェイを使用して、IPsec VPN サービスを作成し、有効にします。IPsec VPN サービスの追加を参照してください。
  2. NSX Manager に必要なサーバ証明書または CA 証明書がない場合は、証明書をインポートします。自己署名証明書または CA 署名付き証明書のインポートおよびCA 証明書のインポートを参照してください。
  3. ローカル エンドポイントの追加 を使用して、論理ルーターにホストされる VPN サーバを作成し、そのサーバの証明書を選択します。

    ローカル エンドポイントに関連する証明書から派生するローカル ID は、証明書に含まれている X509v3 拡張機能によって異なります。ローカル ID は、X509v3 拡張機能の Subject Alternative Name (SAN) または識別名 (DN) のいずれかになります。[ローカル ID] は不要です。指定した ID は無視されます。ただし、リモート VPN ゲートウェイの場合は、ピア VPN ゲートウェイでローカル ID をリモート ID として構成する必要があります。

    • 証明書に X509v3 Subject Alternative Name がある場合、SAN 文字列の 1 つがローカル ID 値として取得されます。
      証明書に複数の SAN フィールドがある場合は、次の順序でローカル ID を選択します。
      順序 SAN フィールド
      1 IP アドレス
      2 DNS
      3 メール アドレス

      たとえば、構成されたサイトの証明書に次の SAN フィールドがあるとします。

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      この場合、IP アドレス 1.1.1.1 がローカル ID として使用されます。IP アドレスが使用できない場合は、DNS 文字列が使用されます。IP アドレスと DNS が使用できない場合は、メール アドレスが使用されます。

    • 証明書に X509v3 Subject Alternative Name が存在しない場合、識別名 (DN) がローカル ID 値として使用されます。

      たとえば、証明書に SAN フィールドがなく、次の DN 文字列があるとします。

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      この場合、DN 文字列がローカル ID として自動的に使用されます。ローカル ID はリモート サイトのピア ID になります。

    注: 証明書の詳細が正しく構成されていないと、VPN セッションが停止し、 Authentication停止アラームが表示されることがあります。
  4. ポリシーベースまたはルートベースの IPsec VPN セッションを構成します。ポリシーベース IPsec セッションの追加またはルートベース IPsec セッションの追加を参照してください。

    必ず、次のように構成します。

    1. [認証モード] ドロップダウン メニューから [証明書] を選択します。
    2. [リモート ID] テキスト ボックスに、ピア サイトを識別する値を入力します。

      リモート ID は、ピア サイトの証明書で使用される識別名 (DN)、IP アドレス、DNS、またはメール アドレスにする必要があります。

      注:

      たとえば、次のようにピア サイトの証明書で識別名 (DN) にメール アドレスが含まれている場合、

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      次の形式で [リモート ID] の値を入力します。

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]