Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie verwende ich AWS Site-to-Site VPN, um ein zertifikatsbasiertes VPN zu erstellen?

Lesedauer: 2 Minute
0

Ich möchte AWS Site-to-Site VPN verwenden, um ein zertifikatbasiertes IP-Sicherheits (IPSec)-VPN erstellen.

Kurzbeschreibung

AWS Site-to-Site VPN unterstützt die zertifikatsbasierte Authentifizierung durch die Integration mit der AWS Private Certificate Authority (AWS Private CA). Mithilfe digitaler Zertifikate anstelle von vorab geteilten Schlüsseln für die IKE-Authentifizierung kannst du IPSec-Tunnel mit statischen oder dynamischen IP-Adressen für Kunden-Gateways erstellen.

Hinweis: Du kannst kein externes selbstsigniertes Zertifikat für Site-to-Site VPN verwenden. Weitere Informationen zu Zertifikatsoptionen findest du unter Site-to-Site-VPN-Tunnelauthentifizierungsoptionen.

Lösung

Ein Root- und ein untergeordnetes privates CA-Zertifikat installieren

Erstelle und installiere ein Root-CA-Zertifikat und ein untergeordnetes CA-Zertifikat.

Privates Zertifikat anfordern oder erstellen

Wenn du über ein vorhandenes privates Zertifikat verfügst, kann der AWS Certificate Manager (ACM) anfordern, dass das Zertifikat als Identitätszertifikat für dein Kunden-Gateway-Gerät verwendet wird. Wenn du noch kein privates Zertifikat hast, erstelle eines.

Nur die untergeordnete Zertifizierungsstelle kann das private Zertifikat ausstellen, und die untergeordnete Zertifizierungsstelle muss sich in AWS Certificate Manager (ACM) befinden. Wenn sich deine Zertifizierungsstelle nicht in ACM befindet, kannst du eine Zertifikatssignierungsanforderung (Certificate Signing Request, CSR) erstellen und die signierte untergeordnete Zertifizierungsstelle in ACM importieren.

Erstellen eines Kunden-Gateways

Erstellen eines Kunden-Gateways für deine VPN-Verbindung:

  1. Öffne die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
  2. Wähle Customer Gateways. Wähle dann Kunden-Gateway erstellen aus.
  3. Gib unter Name einen Namen für dein Kunden-Gateway ein.
  4. Wähle für Routing den Routing-Typ für deinen Anwendungsfall aus.
  5. Lasse das Feld IP-Adresse leer, wenn die IP-Adresse deines Kunden-Gateways dynamisch ist. Wenn die IP-Adresse deines Kunden-Gateways statisch ist, kannst du dieses Feld leer lassen oder die IP-Adresse angeben.
  6. Wähle für Certificate ARN den Zertifikat-ARN für dein privates Zertifikat aus.
  7. (Optional) Gib für Gerät einen Gerätenamen ein.
  8. Wähle Kunden-Gateway erstellen aus.

Site-to-Site VPN konfigurieren

Konfiguriere eine AWS Site-to-Site VPN-Verbindung mit einem virtuellen privaten Gateway.

Zertifikate auf das Kunden-Gateway-Gerät kopieren

Kopiere das private Zertifikat, das Root-CA-Zertifikat und das untergeordnete CA-Zertifikat auf das Kunden-Gateway-Gerät.

**Hinweis:**Wenn das AWS-VPN ein Zertifikat zur Authentifizierung anfordert, legt das Kunden-Gateway-Gerät das private Zertifikat vor. Auf dem Kunden-Gateway-Gerät müssen jedoch alle drei Zertifikate vorhanden sein. Wenn das Kunden-Gateway-Gerät nicht über alle Zertifikate verfügt, schlägt die VPN-Authentifizierung fehl.

Ähnliche Informationen

Kunden-Gateway-Geräte für das AWS Site-to-Site VPN

Privates Zertifikat von AWS Private Certificate Authority

Themen
Vernetzung & Bereitstellung von Inhalten
Tags
AWS Virtual Private Network (VPN)AWS Client VPN
Sprache
Deutsch

Ähnliche Videos

Sieh dir Adityas Video an, um mehr zu erfahren (8:21)
Sieh dir Adityas Video an, um mehr zu erfahren (8:21)
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 2 Jahren

Relevanter Inhalt