以憑證為基礎的 VPN 在 IKE 交涉期間使用數位憑證,而不是預先共用金鑰。

可以將以憑證為基礎的驗證與路由型或原則型 VPN 搭配使用。

在 IPsec VPN 的以憑證為基礎的驗證中,每個端點在 IKE 交涉期間都會提供一個憑證。兩個端點必須共用一個通用憑證授權機構 (CA)。每個端點都會設定對等憑證中的屬性 (例如,憑證中的 DN、電子郵件識別碼、IP 位址),而不是 IP 或 CIDR,以作為遠端身分識別。

必要條件

如果您在 NSX Manager 中沒有必要的伺服器憑證或 CA 憑證,請匯入這些憑證。請參閱〈匯入自我簽署或 CA 簽署憑證〉〈匯入 CA 憑證〉

如果要匯入憑證,則必須建立允許匯入的管理閘道防火牆規則。請向您的憑證授權機構咨詢,瞭解要在規則中使用的來源位址和連接埠號碼。

程序

  1. 在 SDDC 閘道上設定本機 VPN 端點,並為該端點選取憑證。
    依預設,SDDC 計算閘道 (T0) 佈建了本機端點。如果要將 VPN 連線到自訂 T1 閘道,則需要向該閘道 新增本機端點

    本機識別碼衍生自本機端點相關聯的憑證,並依存於憑證中的 X509v3 延伸。本機識別碼可以是 X509v3 延伸「主體別名 (SAN)」或「辨別名稱 (DN)」。不需要使用本機識別碼,因此,會忽略此處指定的識別碼。不過,對於遠端 VPN 閘道,您需要將本機識別碼設定成對等 VPN 閘道中的遠端識別碼。

    • 如果在憑證中找到 X509v3 Subject Alternative Name,則會以其中一個 SAN 字串作為本機識別碼值。
      如果憑證有多個 SAN 欄位,會依以下順序選取本機識別碼。
      順序 SAN 欄位
      1 IP 位址
      2 DNS
      3 電子郵件地址

      例如,如果所設定的站台憑證有以下 SAN 欄位,

      X509v3 Subject Alternative Name:
DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1

      則會以 IP 位址 1.1.1.1 作為本機識別碼。如果 IP 位址無法使用,則會使用 DNS 字串。如果 IP 位址和 DNS 無法使用,則會使用電子郵件地址。

    • 如果憑證中不存在 X509v3 Subject Alternative Name,則會使用「辨別名稱 (DN)」作為本機識別碼值。

      例如,如果憑證不包含任何 SAN 欄位,且其 DN 字串為

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      則 DN 字串會自動成為本機識別碼。本機識別碼是遠端站台上的對等識別碼。

  2. 為 VPN 設定以憑證為基礎的驗證。
    1. 驗證模式下拉式功能表中,選取憑證
    2. 遠端私人 IP/遠端識別碼文字方塊中,輸入一個值以識別對等站台。
      遠端識別碼必須是對等站台憑證中所用的辨別名稱 (DN)、IP 位址、DNS 或電子郵件地址。
      備註:

      如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]

      請以下列格式輸入遠端識別碼值,作為範例。 

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]