Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie verwende ich AWS Site-to-Site VPN, um ein zertifikatsbasiertes VPN zu erstellen?

Lesedauer: 2 Minute
0

Ich möchte AWS Site-to-Site VPN verwenden, um ein zertifikatsbasiertes virtuelles privates Netzwerk (VPN) mit IPSec (IP Security) aufzubauen.

Kurzbeschreibung

AWS Site-to-Site VPN unterstützt die zertifikatsbasierte Authentifizierung durch die Integration mit der AWS Private Certificate Authority (AWS Private CA). Mithilfe digitaler Zertifikate anstelle von vorab geteilten Schlüsseln für die IKE-Authentifizierung können Sie IPSec-Tunnel mit statischen oder dynamischen IP-Adressen für Kunden-Gateways erstellen.

**Hinweis:**Sie können kein externes selbstsigniertes Zertifikat für Site-to-Site VPN verwenden. Weitere Informationen zu Zertifikatsoptionen finden Sie unter Site-to-Site-VPN-Tunnelauthentifizierungsoptionen.

Behebung

Installieren Sie ein Root- und ein untergeordnetes privates CA-Zertifikat

Erstellen und installieren Sie ein Root-CA-Zertifikat und ein untergeordnetes CA-Zertifikat.

Privates Zertifikat anfordern oder erstellen

Wenn Sie über ein vorhandenes privates Zertifikat verfügen, kann AWS Certificate Manager (ACM) anfordern, dass das Zertifikat als Identitätszertifikat für Ihr Kunden-Gateway-Gerät verwendet wird. Wenn Sie noch kein privates Zertifikat haben, erstellen Sie eines.

Nur die untergeordnete Zertifizierungsstelle kann das private Zertifikat ausstellen, und die untergeordnete Zertifizierungsstelle muss sich in AWS Certificate Manager (ACM) befinden. Wenn sich Ihre CA nicht in ACM befindet, können Sie eine Certificate Signing Request (CSR) erstellen und die signierte untergeordnete CA in ACM importieren.

Erstellen Sie ein Kunden-Gateway (CGW)

Erstellen eines Kunden-Gateways für Ihre VPN-Verbindung:

  1. Öffnen Sie die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
  2. Wählen Sie Customer Gateways. Wählen Sie dann Kunden-Gateway erstellen aus.
  3. Geben Sie unter Name einen Namen für Ihr Kunden-Gateway ein.
  4. Wählen Sie für Routing den Routing-Typ für Ihren Anwendungsfall aus.
  5. Lassen Sie das Feld IP-Adresse leer, wenn die IP-Adresse Ihres Kunden-Gateways dynamisch ist. Wenn die IP-Adresse Ihres Kunden-Gateways statisch ist, können Sie dieses Feld leer lassen oder die IP-Adresse angeben.
  6. Wählen Sie für Certificate ARN den Zertifikat-ARN für Ihr privates Zertifikat aus.
  7. (Optional) Geben Sie für Gerät einen Gerätenamen ein.
  8. Wählen Sie Kunden-Gateway erstellen aus.

Site-to-Site VPN konfigurieren

Konfigurieren einer AWS Site-to-Site VPN-Verbindung mit einem virtuellen privaten Gateway.

Zertifikate auf das Kunden-Gateway-Gerät kopieren

Kopieren Sie das private Zertifikat, das Root-CA-Zertifikat und das untergeordnete CA-Zertifikat auf das Kunden-Gateway-Gerät.

**Hinweis:**Wenn das AWS-VPN ein Zertifikat zur Authentifizierung anfordert, legt das Kunden-Gateway-Gerät das private Zertifikat vor. Auf dem Kunden-Gateway-Gerät müssen jedoch alle drei Zertifikate vorhanden sein. Wenn das Kunden-Gateway-Gerät nicht über alle Zertifikate verfügt, schlägt die VPN-Authentifizierung fehl.

Verwandte Informationen

Anforderungen an Ihr Kunden-Gateway-Gerät

Privates Zertifikat von AWS Private Certificate Authority

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
AWS Virtual Private Network (VPN)AWS Client VPN
Sprache
Deutsch

Ähnliche Videos

Schauen Sie sich das Video von Aditya an, um mehr zu erfahren (8:21)
Schauen Sie sich das Video von Aditya an, um mehr zu erfahren (8:21)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 9 Monaten

Relevanter Inhalt