IPSec에 대해 인증서 인증을 사용하도록 설정하려면 서버 인증서 및 해당 CA 서명된 인증서를 가져와야 합니다. 필요한 경우 OpenSSL과 같은 오픈 소스 명령줄 도구를 사용하여 CA 서명된 인증서를 생성할 수 있습니다.

사전 요구 사항

OpenSSL이 설치되어 있어야 합니다.

프로시저

  1. OpenSSL이 설치된 Linux 또는 Mac 시스템에서 /opt/local/etc/openssl/openssl.cnf 또는 /System/Library/OpenSSL/openssl.cnf 파일을 엽니다.
  2. dir = .인지 확인합니다.
  3. 다음 명령을 실행합니다.
    mkdir newcerts
    mkdir certs
    mkdir req
    mkdir private
    echo "01" > serial
    touch index.txt
  4. 다음 명령을 실행하여 CA 서명된 인증서를 생성합니다.
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. NSX Edge1에서 다음 단계를 수행합니다.
    1. CSR(인증서 서명 요청)을 생성합니다.
      자세한 단계는 CA 서명된 인증서 구성 항목을 참조하십시오.
    2. PEM(Privacy Enhanced Mail) 파일 컨텐츠를 복사한 다음, req/edge1.req에 있는 파일에 저장합니다.
  6. 다음 명령을 실행하여 CSR에 서명합니다.
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. NSX Edge2에서 CSR을 생성하고 PEM(Privacy Enhanced Mail) 파일 컨텐츠를 복사한 다음 req/edge2.req에 있는 파일에 저장합니다.
  8. 다음 명령을 실행하여 CSR에 서명합니다.
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. certs/edge1.pem 파일의 끝에 있는 PEM 인증서를 Edge1에 업로드합니다.
  10. certs/edge2.pem 파일의 끝에 있는 PEM 인증서를 Edge2에 업로드합니다.
  11. 서명된 인증서(cacert.pem)를 CA 서명된 인증서로 Edge1 및 Edge2로 가져옵니다.
  12. Edge1 및 Edge2에 대한 IPSec 글로벌 구성에서 업로드한 PEM 인증서 및 CA 인증서를 선택하고 구성을 저장합니다.
  13. 관리 > 설정 > 인증서로 이동합니다. 가져온 서명된 인증서를 선택하고 DN 문자열을 기록해 둡니다.
  14. DN 문자열을 C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com 형식에 따라 역방향으로 구성하고 Edge1 및 Edge2용으로 저장합니다.
  15. 지정된 형식의 DN(고유 이름) 문자열로 된 로컬 ID 및 피어 ID를 사용하여 Edge1 및 Edge2에 IPSec VPN 사이트를 생성합니다.

결과

통계 표시 또는 IPSec 통계 표시(Show IPSec Statistics)를 클릭하여 상태를 확인합니다. 채널을 클릭하여 터널 상태를 확인합니다. 채널 상태가 사용되도록 설정되어 있고 터널 상태가 [실행 중]이어야 합니다.