在 IPSec VPN 工作階段中使用憑證式驗證時,您必須在相關聯的本機端點中,設定 IPSec 工作階段的憑證詳細資料。

請參閱以下工作流程,以詳細瞭解如何為 IPSec VPN 工作階段設定憑證詳細資料。

為 IPSec VPN 工作階段設定憑證式驗證

  1. 使用現有第 0 層或第 1 層閘道建立並啟用 IPSec VPN 服務。請參閱新增 IPSec VPN 服務
  2. 如果您在 NSX Manager 中沒有必要的伺服器憑證或 CA 憑證,請匯入這些憑證。請參閱 匯入自我簽署的憑證或 CA 簽署的憑證匯入 CA 憑證
  3. 使用新增本機端點,建立一個裝載在邏輯路由器上的 VPN 伺服器,並為該伺服器選取憑證。

    本機識別碼衍生自本機端點相關聯的憑證,並依存於憑證中的 X509v3 延伸。本機識別碼可以是 X509v3 延伸「主體別名 (SAN)」或「辨別名稱 (DN)」。不需要使用本機識別碼,因此,會忽略此處指定的識別碼。不過,對於遠端 VPN 閘道,您需要將本機識別碼設定成對等 VPN 閘道中的遠端識別碼。

    • 如果在憑證中找到 X509v3 Subject Alternative Name,則會以其中一個 SAN 字串作為本機識別碼值。
      如果憑證有多個 SAN 欄位,會依以下順序選取本機識別碼。
      順序 SAN 欄位
      1 IP 位址
      2 DNS
      3 電子郵件地址

      例如,如果所設定的站台憑證有以下 SAN 欄位,

      X509v3 Subject Alternative Name:
      DNS:Site123.vmware.com, email:user1@company.com, IP Address:1.1.1.1

      則會以 IP 位址 1.1.1.1 作為本機識別碼。如果 IP 位址無法使用,則會使用 DNS 字串。如果 IP 位址和 DNS 無法使用,則會使用電子郵件地址。

    • 如果憑證中不存在 X509v3 Subject Alternative Name,則會使用「辨別名稱 (DN)」作為本機識別碼值。

      例如,如果憑證不包含任何 SAN 欄位,且其 DN 字串為

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123

      則 DN 字串會自動成為本機識別碼。本機識別碼是遠端站台上的對等識別碼。

    備註: 如果未正確設定憑證詳細資料,可能導致 VPN 工作階段關閉,並顯示 關閉警示,指出 驗證失敗
  4. 設定原則型或路由型的 IPSec VPN 工作階段。請參閱新增以原則為基礎的 IPSec 工作階段新增路由型 IPSec 工作階段

    請確定已完成以下設定。

    1. 驗證模式下拉式功能表中,選取憑證
    2. 遠端識別碼文字方塊中,輸入一值以識別對等站台。

      遠端識別碼必須是對等站台憑證中所用的辨別名稱 (DN)、IP 位址、DNS 或電子郵件地址。

      備註:

      如果對等站台的憑證在 DN 字串中包含電子郵件地址,例如

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123/emailAddress=user1@mycompany.com

      請以下列格式輸入遠端識別碼值,作為範例。

      C=US, ST=California, O=MyCompany, OU=MyOrg, CN=Site123, MAILTO=user1@mycompany.com