인증서 기반 VPN은 IKE 협상 중에 미리 공유한 키 대신 디지털 인증서를 사용합니다.

경로 기반 또는 정책 기반 VPN에서 인증서 기반 인증을 사용할 수 있습니다.

IPsec VPN에 대한 인증서 기반 인증에서 각 끝점은 IKE 협상 중에 인증서를 제공합니다. 두 끝점은 공통 CA(인증 기관)를 공유해야 합니다. 각 끝점은 IP 또는 CIDR이 아닌 피어 인증서의 특성(예: DN, 이메일 ID, 인증서에 있는 IP 주소)을 원격 ID로 사용하여 구성됩니다.

사전 요구 사항

NSX Manager에 필요한 서버 인증서 또는 CA 인증서가 없는 경우 인증서를 가져옵니다. 자체 서명된 인증서 또는 CA 서명된 인증서CA 인증서 가져오기를 참조하십시오.

인증서를 가져오는 경우 가져오기를 허용하는 관리 게이트웨이 방화벽 규칙을 생성해야 합니다. CA(인증 기관)에 문의하여 규칙에 사용할 소스 주소 및 포트 번호를 확인하십시오.

프로시저

  1. SDDC 게이트웨이에서 로컬 VPN 끝점을 구성하고 이에 대한 인증서를 선택합니다.
    SDDC 계산 게이트웨이(T0)는 기본적으로 로컬 끝점으로 프로비저닝됩니다. VPN을 사용자 지정 T1 게이트웨이에 연결하는 경우 해당 게이트웨이에 로컬 끝점 추가가 필요합니다.

    로컬 ID는 로컬 끝점과 연결된 인증서에서 파생되며 인증서에 있는 X509v3 확장에 따라 다릅니다. 로컬 ID는 X509v3 확장 SAN(주체 대체 이름) 또는 DN(고유 이름)일 수 있습니다. 로컬 ID가 필요하지 않으며 지정된 ID는 무시됩니다. 그러나 원격 VPN 게이트웨이의 경우 피어 VPN 게이트웨이에서 로컬 ID를 원격 ID로 구성해야 합니다.

    • X509v3 Subject Alternative Name이 인증서에 있으면 SAN 문자열 중 하나가 로컬 ID 값으로 사용됩니다.
      인증서에 여러 SAN 필드가 있는 경우 다음 순서를 사용하여 로컬 ID를 선택합니다.
      순서 SAN 필드
      1 IP 주소
      2 DNS
      3 이메일 주소

      예를 들어 구성된 사이트 인증서에 다음과 같은 SAN 필드가 있는 경우

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:user1@company.com, IP Address:1.1.1.1

      IP 주소 1.1.1.1이 로컬 ID로 사용됩니다. IP 주소를 사용할 수 없는 경우 DNS 문자열이 사용됩니다. IP 주소와 DNS를 사용할 수 없으면 이메일 주소가 사용됩니다.

    • X509v3 Subject Alternative Name이 인증서에 없으면 DN(고유 이름)이 로컬 ID 값으로 사용됩니다.

      예를 들어 인증서에 SAN 필드가 없고 해당 DN 문자열이 다음과 같으면

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      DN 문자열이 자동으로 로컬 ID가 됩니다. 로컬 ID는 원격 사이트의 피어 ID입니다.

  2. VPN에 대한 인증서 기반 인증을 구성합니다.
    1. 인증 모드 드롭다운 메뉴에서 인증서를 선택합니다.
    2. 원격 개인 IP/원격 ID 텍스트 상자에 피어 사이트를 식별하는 값을 입력합니다.
      원격 ID는 피어 사이트의 인증서에 사용되는 DN(고유 이름), IP 주소, DNS 또는 이메일 주소여야 합니다.
      참고:

      피어 사이트의 인증서에는 DN 문자열의 이메일 주소가 포함되어 있습니다. 예를 들어 다음과 같습니다.

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com

      그런 다음, 예에서처럼 다음 형식을 사용하여 원격 ID 값을 입력합니다.

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com