VMware Cloud Director 環境中的 NSX Data Center for vSphere 軟體能夠讓您搭配使用安全通訊端層 (SSL) 憑證與為 Edge 閘道設定的 SSL VPN-Plus 和 IPsec VPN 通道。

VMware Cloud Director 環境中的 Edge 閘道支援自我簽署的憑證、憑證授權單位 (CA) 簽署的憑證,以及由 CA 產生和簽署的憑證。您可以產生憑證簽署要求 (CSR)、匯入憑證、管理匯入的憑證,以及建立憑證撤銷清單 (CRL)。

關於搭配使用憑證與組織虛擬資料中心

您可以在 VMware Cloud Director 組織虛擬資料中心內管理下列網路區域的憑證。

  • 組織虛擬資料中心網路與遠端網路之間的 IPsec VPN 通道。
  • 遠端使用者與組織虛擬資料中心的私人網路和 Web 資源之間的 SSL VPN-Plus 連線。
  • 兩個 NSX Data Center for vSphere Edge 閘道之間的 L2 VPN 通道。
  • 針對在組織虛擬資料中心內進行負載平衡所設定的虛擬伺服器與集區伺服器

如何使用用戶端憑證

您可以透過 CAI 命令或 REST 呼叫建立用戶端憑證。然後,可以將此憑證散佈到可在其網頁瀏覽器上安裝憑證的遠端使用者。

實作用戶端憑證的主要優點是可以儲存每個遠端使用者的參考用戶端憑證,並對照遠端使用者提供的用戶端憑證進行檢查。若要防止日後與特定使用者連線,您可以從安全伺服器的用戶端憑證清單中刪除參考憑證。刪除憑證即可拒絕與該使用者的連線。

針對 Edge 閘道產生憑證簽署要求

您必須先針對 Edge 閘道產生憑證簽署要求 (CSR),才能從 CA 排序已簽署憑證或建立自我簽署憑證。

CSR 是必須在需要 SSL 憑證之 NSX Edge 閘道上產生的編碼檔案。使用 CSR 可標準化公司傳送其公開金鑰,以及用於識別其公司名稱和網域名稱之資訊的方式。

可使用必須保留在 Edge 閘道上的相符私密金鑰檔案產生 CSR。CSR 包含相符的公開金鑰及其他資訊,例如您的組織名稱、位置和網域名稱。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 憑證索引標籤上,按一下 CSR
  4. 針對 CSR 設定下列選項:
    選項 描述
    一般名稱 輸入將使用憑證之組織的完整網域名稱 (FQDN) (例如 www.example.com)。

    請勿在一般名稱中包含 http://https:// 前置詞。

    組織單位 使用此欄位可區分與此憑證相關聯的 VMware Cloud Director 組織內的部門。例如,工程部門或銷售部門。
    組織名稱 輸入您公司的合法註冊名稱。

    列出的組織必須是憑證要求中之網域名稱的合法註冊者。

    位置 輸入您公司合法註冊所在的城市或位置。
    州或省名稱 輸入您公司合法註冊所在州、省、區域或地區的全名 (請勿使用縮寫)。
    國碼 輸入您公司合法註冊所在的國家/地區名稱。
    私密金鑰演算法 輸入憑證的金鑰類型 (RSA 或 DSA)。

    通常使用 RSA。金鑰類型定義在主機之間進行通訊的加密演算法。當 FIPS 模式開啟時,RSA 金鑰大小必須大於或等於 2048 位元。

    備註: SSL VPN-Plus 只支援 RSA 憑證。
    金鑰大小 輸入金鑰大小 (位元)。

    最小值為 2048 位元。

    描述 (選擇性) 輸入憑證的說明。
  5. 按一下保留
    系統會產生 CSR,並將類型為 CSR 的新項目新增至畫面清單。

結果

在畫面上的清單中,當您選取類型為 CSR 的項目時,CSR 詳細資料會顯示在畫面中。您可以複製 CSR 顯示的 PEM 格式資料,並提交給憑證授權機構 (CA) 以取得 CA 簽署憑證。

下一步

透過以下兩個選項之一,使用 CSR 建立服務憑證:

匯入與針對 Edge 閘道產生之 CSR 對應的 CA 簽署憑證

產生憑證簽署要求 (CSR) 並根據該 CSR 取得 CA 簽署憑證後,您可以匯入該 CA 簽署憑證,以便由 Edge 閘道使用。

必要條件

確認您已取得與 CSR 對應的 CA 簽署憑證。如果 CA 簽署憑證中的私密金鑰不符合所選 CSR 的金鑰,則匯入程序會失敗。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 在您要匯入 CA 簽署憑證之畫面上的資料表中選取 CSR。
  4. 匯入簽署的憑證。
    1. 按一下 為 CSR 產生的已簽署憑證
    2. 提供 CA 簽署憑證的 PEM 資料。
      • 如果資料位於系統上可導覽到的 PEM 檔案中,按一下上傳按鈕瀏覽到該檔案並加以選取。
      • 如果您可以複製並貼上 PEM 資料,請將其貼到已簽署憑證 (PEM 格式) 欄位。

        包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

    3. (選擇性) 輸入描述。
    4. 按一下保留
      備註: 如果 CA 簽署憑證中的私密金鑰不符合您在 [憑證] 畫面上選取之 CSR 的金鑰,則匯入程序會失敗。

結果

類型為「服務憑證」的 CA 簽署憑證會出現在畫面清單中。

下一步

視需要將 CA 簽署憑證連結至 SSL VPN-Plus 或 IPsec VPN 通道。請參閱設定 SSL VPN 伺服器設定指定全域 IPsec VPN 設定

設定自我簽署的服務憑證

您可以透過 Edge 閘道設定自我簽署的服務憑證,以用於其 VPN 相關功能。您可以建立、安裝和管理自我簽署憑證。

如果 [憑證] 畫面上有可用的服務憑證,您可以在設定 Edge 閘道的 VPN 相關設定時指定該服務憑證。VPN 會將指定的服務憑證提供給存取 VPN 的用戶端。

必要條件

確認在 Edge 閘道的憑證畫面上至少有一個 CSR。請參閱針對 Edge 閘道產生憑證簽署要求

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 在清單中選取要用於此自我簽署憑證的 CSR,然後按一下自我簽署 CSR
  4. 輸入自我簽署憑證的有效天數。
  5. 按一下保留
    系統會產生自我簽署的憑證,並將類型為「服務憑證」的新項目新增至畫面清單。

結果

自我簽署的憑證在 Edge 閘道上可供使用。在畫面上的清單中,當您選取類型為「服務憑證」的項目時,其詳細資料會顯示在畫面中。

將 CA 憑證新增至 Edge 閘道以進行 SSL 憑證信任驗證

將 CA 憑證新增至 Edge 閘道,可啟用提供給 Edge 閘道進行驗證之 SSL 憑證的信任驗證,通常是用於 VPN 與 Edge 閘道連線的用戶端憑證。

通常,將公司或組織的根憑證新增為 CA 憑證。典型用途是 SSL VPN,您需要使用憑證來驗證 VPN 用戶端。用戶端憑證會散佈至 VPN 用戶端,當 VPN 用戶端連線時,其用戶端憑證會根據 CA 憑證進行驗證。

備註: 新增 CA 憑證時,通常會設定相關的憑證撤銷清單 (CRL)。CRL 用來阻止提供已撤銷憑證的用戶端。請參閱 將憑證撤銷清單新增至 Edge 閘道

必要條件

確認您具有 PEM 格式的 CA 憑證資料。在使用者介面中,可以貼上 CA 憑證的 PEM 資料,或瀏覽到包含該資料並可從您的本機系統網路中存取的檔案。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 按一下 CA 憑證
  4. 提供 CA 憑證資料。
    • 如果資料位於系統上可導覽到的 PEM 檔案中,按一下上傳按鈕瀏覽到該檔案並加以選取。
    • 如果您可以複製並貼上 PEM 資料,請將其貼到 CA 憑證 (PEM 格式) 欄位。

      包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

  5. (選擇性) 輸入描述。
  6. 按一下保留

結果

類型為「CA 憑證」的 CA 憑證會出現在畫面清單中。此 CA 憑證現可供您在設定 Edge 閘道的 VPN 相關設定時進行指定。

將憑證撤銷清單新增至 Edge 閘道

憑證撤銷清單 (CRL) 是核發憑證授權機構 (CA) 宣告已撤銷的數位憑證清單,以便系統可更新,不再信任提供這些已撤銷憑證的使用者。您可以將 CRL 新增至 Edge 閘道。

《NSX 管理指南》中所述,CRL 包含下列項目:

  • 已撤銷的憑證和撤銷原因
  • 核發憑證的日期
  • 核發憑證的實體
  • 下一版本的預定日期

當潛在使用者嘗試存取伺服器時,伺服器會根據該特定使用者的 CRL 項目允許或拒絕存取。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 按一下 CRL
  4. 提供 CRL 資料。
    • 如果資料位於系統上可導覽到的 PEM 檔案中,按一下上傳按鈕瀏覽到該檔案並加以選取。
    • 如果您可以複製並貼上 PEM 資料,請將其貼到 CRL (PEM 格式) 欄位。

      包括 -----BEGIN X509 CRL----------END X509 CRL----- 行。

  5. (選擇性) 輸入描述。
  6. 按一下保留

結果

CRL 會出現在畫面清單中。

將服務憑證新增至 Edge 閘道

將服務憑證新增至 Edge 閘道會使這些憑證可用於 Edge 閘道的 VPN 相關設定中。您可以將服務憑證新增至憑證畫面。

必要條件

確認您具有採用 PEM 格式的服務憑證及其私密金鑰。在使用者介面中,可以貼上 PEM 資料,或瀏覽到包含該資料並可從您的本機系統網路中存取的檔案。

程序

  1. 開啟 Edge 閘道服務。
    1. 在頂部導覽列中,按一下網路,然後按一下 Edge 閘道
    2. 選取要編輯的 Edge 閘道,然後按一下服務
  2. 按一下憑證索引標籤。
  3. 按一下服務憑證
  4. 輸入服務憑證之 PEM 格式的資料。
    • 如果資料位於系統上可導覽到的 PEM 檔案中,按一下上傳按鈕瀏覽到該檔案並加以選取。
    • 如果您可以複製並貼上 PEM 資料,請將其貼到服務憑證 (PEM 格式) 欄位。

      包括 -----BEGIN CERTIFICATE----------END CERTIFICATE----- 行。

  5. 輸入憑證私密金鑰之 PEM 格式的資料。
    當 FIPS 模式開啟時,RSA 金鑰大小必須大於或等於 2048 位元。
    • 如果資料位於系統上可導覽到的 PEM 檔案中,按一下上傳按鈕瀏覽到該檔案並加以選取。
    • 如果您可以複製並貼上 PEM 資料,請將其貼到私密金鑰 (PEM 格式) 欄位。

      包括 -----BEGIN RSA PRIVATE KEY----------END RSA PRIVATE KEY----- 行。

  6. 輸入私密金鑰複雜密碼並進行確認。
  7. (選擇性) 輸入說明。
  8. 按一下保留

結果

類型為「服務憑證」的憑證會出現在畫面清單中。此服務憑證現可供您在設定 Edge 閘道的 VPN 相關設定時進行選取。