IPSec에 대해 인증서 인증을 사용하도록 설정하려면 서버 인증서 및 해당 CA 서명된 인증서를 가져와야 합니다. 필요한 경우 OpenSSL과 같은 오픈 소스 명령줄 도구를 사용하여 CA 서명된 인증서를 생성할 수 있습니다.

시작하기 전에

OpenSSL이 설치되어 있어야 합니다.

프로시저

  1. OpenSSL이 설치된 Linux 또는 Mac 시스템에서 /opt/local/etc/openssl/openssl.cnf 또는 /System/Library/OpenSSL/openssl.cnf 파일을 엽니다.
  2. dir = .인지 확인합니다.
  3. 다음 명령을 실행합니다.
    mkdir newcerts
    mkdir certs
    mkdir req
    mkdir private
    echo "01" > serial
    touch index.txt
  4. 다음 명령을 실행하여 CA 서명된 인증서를 생성합니다.
    openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650
  5. NSX Edge1에서 CSR을 생성하고 PEM(Privacy Enhanced Mail) 파일 컨텐츠를 복사한 다음 req/edge1.req에 있는 파일에 저장합니다.

    CA 서명된 인증서 구성 항목을 참조하십시오.

  6. 다음 명령을 실행하여 CSR에 서명합니다.
    sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req
  7. NSX Edge2에서 CSR을 생성하고 PEM(Privacy Enhanced Mail) 파일 컨텐츠를 복사한 다음 req/edge2.req에 있는 파일에 저장합니다.
  8. 다음 명령을 실행하여 CSR에 서명합니다.
    sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req
  9. certs/edge1.pem 파일의 끝에 있는 PEM 인증서를 Edge1에 업로드합니다.
  10. certs/edge2.pem 파일의 끝에 있는 PEM 인증서를 Edge2에 업로드합니다.
  11. cacert.pem 파일의 CA 인증서를 CA 서명된 인증서로 Edge1 및 Edge2에 업로드합니다.
  12. Edge1 및 Edge2에 대한 IPSec 글로벌 구성에서 업로드한 PEM 인증서 및 업로드한 CA 인증서를 선택하고 구성을 저장합니다.
  13. 인증서(Certifcate) 탭에서 업로드한 인증서를 클릭하고 DN 문자열을 기록합니다.
  14. DN 문자열을 C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com 형식에 따라 역방향으로 구성하고 Edge1 및 Edge2용으로 저장합니다.
  15. 지정된 형식의 DN(고유 이름) 문자열로 된 로컬 ID 및 피어 ID를 사용하여 Edge1 및 Edge2에 IPSec VPN 사이트를 생성합니다.

결과

IPSec 통계 표시(Show IPsec Statistics)를 클릭하여 상태를 확인합니다. 채널을 클릭하여 터널 상태를 확인합니다. 채널과 터널의 상태가 모두 녹색으로 나타나야 합니다.