在 IPSec VPN 工作階段中使用憑證式驗證時,您必須在相關聯的本機端點中,設定 IPSec 工作階段的憑證詳細資料。
備註:
IPSec VPN 不支援萬用字元憑證。
請參閱以下工作流程,以詳細瞭解如何為 IPSec VPN 工作階段設定憑證詳細資料。
為 IPSec VPN 工作階段設定憑證式驗證
- 使用現有第 0 層或第 1 層閘道建立並啟用 IPSec VPN 服務。請參閱新增 IPSec VPN 服務。
- 如果您在 NSX Manager 中沒有必要的伺服器憑證或 CA 憑證,請匯入這些憑證。請參閱 匯入自我簽署的憑證或 CA 簽署的憑證和 匯入 CA 憑證。
- 使用新增本機端點,建立一個裝載在邏輯路由器上的 VPN 伺服器,並為該伺服器選取憑證。
本機識別碼衍生自本機端點相關聯的憑證,並依存於憑證中的 X509v3 延伸。本機識別碼可以是 X509v3 延伸「主體別名 (SAN)」或「辨別名稱 (DN)」。不需要使用本機識別碼,因此,會忽略此處指定的識別碼。不過,對於遠端 VPN 閘道,您需要將本機識別碼設定成對等 VPN 閘道中的遠端識別碼。
- 如果在憑證中找到 X509v3 Subject Alternative Name,則會以其中一個 SAN 字串作為本機識別碼值。
如果憑證有多個 SAN 欄位,會依以下順序選取本機識別碼。
順序 SAN 欄位 1 IP 位址 2 DNS 3 電子郵件地址 例如,如果所設定的站台憑證有以下 SAN 欄位,
X509v3 Subject Alternative Name: DNS:Site123.vmware.com, email:[email protected], IP Address:1.1.1.1
則會以 IP 位址
1.1.1.1
作為本機識別碼。如果 IP 位址無法使用,則會使用 DNS 字串。如果 IP 位址和 DNS 無法使用,則會使用電子郵件地址。 - 如果憑證中不存在 X509v3 Subject Alternative Name,則會使用「辨別名稱 (DN)」作為本機識別碼值。
例如,如果憑證不包含任何 SAN 欄位,且其 DN 字串為
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123
則 DN 字串會自動成為本機識別碼。本機識別碼是遠端站台上的對等識別碼。
備註: 如果未正確設定憑證詳細資料,可能導致 VPN 工作階段關閉,並顯示 關閉警示,指出 驗證失敗。 - 如果在憑證中找到 X509v3 Subject Alternative Name,則會以其中一個 SAN 字串作為本機識別碼值。
- 設定原則型或路由型的 IPSec VPN 工作階段。請參閱新增以原則為基礎的 IPSec 工作階段或新增路由型 IPSec 工作階段。
請確定已完成以下設定。
- 從驗證模式下拉式功能表中,選取憑證。
- 在遠端識別碼文字方塊中,輸入一值以識別對等站台。
遠端識別碼必須是對等站台憑證中所用的辨別名稱 (DN)、IP 位址、DNS 或電子郵件地址。
備註:如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/[email protected]
請以下列格式輸入遠端識別碼值,作為範例。
C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, [email protected]