IPSec VPN 세션에 대해 인증서 기반 인증을 사용하는 경우 연결된 로컬 끝점에서 IPSec 세션에 대한 인증서 세부 정보를 구성해야 합니다.
와일드카드 인증서는 IPSec VPN에 대해 지원되지 않습니다.
IPSec VPN 세션에 대한 인증서 세부 정보를 구성하는 방법에 대한 자세한 내용은 다음 워크플로를 참조하십시오.
IPSec VPN 세션에 대한 인증서 기반 인증 구성
- 기존 Tier-0 또는 Tier-1 게이트웨이를 사용하여 IPSec VPN 서비스를 생성하고 사용하도록 설정합니다. IPSec VPN 서비스 추가를 참조하십시오.
- NSX Manager에 필요한 서버 인증서 또는 CA 인증서가 없는 경우 인증서를 가져옵니다. 자체 서명된 인증서 또는 CA 서명된 인증서 가져오기 및 CA 인증서 가져오기 항목을 참조하십시오.
- 로컬 끝점 추가를 사용하여 논리적 라우터에서 호스팅되는 VPN 서버를 생성하고 이 서버의 인증서를 선택합니다.
로컬 ID는 로컬 끝점과 연결된 인증서에서 파생되며 인증서에 있는 X509v3 확장에 따라 다릅니다. 로컬 ID는 X509v3 확장 SAN(주체 대체 이름) 또는 DN(고유 이름)일 수 있습니다. 로컬 ID가 필요하지 않으며 지정된 ID는 무시됩니다. 그러나 원격 VPN 게이트웨이의 경우 피어 VPN 게이트웨이에서 로컬 ID를 원격 ID로 구성해야 합니다.
- X509v3 Subject Alternative Name이 인증서에 있으면 SAN 문자열 중 하나가 로컬 ID 값으로 사용됩니다.
인증서에 여러 SAN 필드가 있는 경우 다음 순서를 사용하여 로컬 ID를 선택합니다.
순서 SAN 필드 1 IP 주소 2 DNS 3 이메일 주소 예를 들어 구성된 사이트 인증서에 다음과 같은 SAN 필드가 있는 경우
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
IP 주소
1.1.1.1
이 로컬 ID로 사용됩니다. IP 주소를 사용할 수 없는 경우 DNS 문자열이 사용됩니다. IP 주소와 DNS를 사용할 수 없으면 이메일 주소가 사용됩니다. - X509v3 Subject Alternative Name이 인증서에 없으면 DN(고유 이름)이 로컬 ID 값으로 사용됩니다.
예를 들어 인증서에 SAN 필드가 없고 해당 DN 문자열이 다음과 같으면
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
DN 문자열이 자동으로 로컬 ID가 됩니다. 로컬 ID는 원격 사이트의 피어 ID입니다.
참고: 인증서 세부 정보가 제대로 구성되지 않으면 인증 실패의 종료 경보를 사용하여 VPN 세션이 종료될 수도 있습니다. - X509v3 Subject Alternative Name이 인증서에 있으면 SAN 문자열 중 하나가 로컬 ID 값으로 사용됩니다.
- 정책 기반 또는 경로 기반 IPSec VPN 세션을 구성합니다. 정책 기반 IPSec 세션 추가 또는 경로 기반 IPSec 세션 추가을 참조하십시오.
다음 설정을 구성해야 합니다.
- 인증 모드 드롭다운 메뉴에서 인증서를 선택합니다.
- 원격 ID 텍스트 상자에 피어 사이트를 식별하는 값을 입력합니다.
원격 ID는 피어 사이트의 인증서에 사용되는 DN(고유 이름), IP 주소, DNS 또는 이메일 주소여야 합니다.
참고:피어 사이트의 인증서에는 DN 문자열의 이메일 주소가 포함되어 있습니다. 예를 들어 다음과 같습니다.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
그런 다음, 예에서처럼 다음 형식을 사용하여 원격 ID 값을 입력합니다.
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]