Quiero usar AWS Site-to-Site VPN para crear una VPN de seguridad IP (IPsec) basada en certificados.
Breve descripción
AWS Site-to-Site VPN admite la autenticación basada en certificados gracias a la integración con la AWS Private Certificate Authority (AWS Private CA). Utiliza los certificados digitales para crear túneles IPsec con direcciones IP de puerta de enlace de cliente estáticas o dinámicas en lugar de claves compartidas previamente para la autenticación de intercambio de claves de Internet (IKE).
Nota: No puedes usar un certificado autofirmado externo para Site-to-Site VPN. Para obtener más información sobre las opciones de certificado, consulta AWS Site-to-Site VPN tunnel authentication options (Opciones de autenticación de un túnel de AWS Site-to-Site VPN).
Resolución
Instalación de un certificado privado de CA raíz y de CA subordinada
Crea e instala un certificado de CA raíz y un certificado de CA subordinada.
Solicitud o creación de un certificado privado
Si ya tienes un certificado privado, AWS Certificate Manager (ACM) puede solicitar el certificado para usarlo como certificado de identidad para tu dispositivo de puerta de enlace de cliente. Si no tienes ningún certificado privado, puedes crearlo.
Solo la CA subordinada, que debe estar en AWS Certificate Manager (ACM), puede emitir el certificado privado. Si tu CA subordinada no está en ACM, puedes crear una solicitud de firma de certificados (CSR) e importar la CA subordinada firmada a ACM.
Creación de una puerta de enlace de cliente
Crea una puerta de enlace de cliente para su conexión VPN:
- Abre la consola de Amazon Virtual Private Cloud (Amazon VPC).
- Elige Gateways de cliente. A continuación, elige Crear gateway de cliente.
- En Nombre, introduce un nombre para tu puerta de enlace de cliente.
- En Direccionamiento, selecciona el tipo de direccionamiento para tu caso de uso.
- Si la dirección IP de la puerta de enlace de cliente es dinámica, deja el campo Dirección IP en blanco. Si la dirección IP de la puerta de enlace de cliente es estática, puedes dejar el campo en blanco o especificar la dirección IP.
- En ARN del certificado, elige el ARN para tu certificado privado.
- (Opcional) En Dispositivo, introduce un nombre para el dispositivo.
- Elige Crear gateway de cliente.
Configuración de Site-to-Site VPN
Configura la conexión de AWS Site-to-Site VPN con una puerta de enlace privada virtual.
Copia de los certificados en el dispositivo de puerta de enlace de cliente
Copia el certificado privado, el certificado de CA raíz y el certificado de CA subordinada en el dispositivo de puerta de enlace de cliente.
Nota: El dispositivo de puerta de enlace de cliente presenta el certificado privado cuando la VPN de AWS lo solicita para la autenticación. Sin embargo, el dispositivo de puerta de enlace de cliente debe contar con los tres certificados. Si el dispositivo de puerta de enlace de cliente no tiene todos los certificados, se produce un error en la autenticación de la VPN.
Información relacionada
AWS Site-to-Site VPN customer gateway devices (Dispositivos de puerta de enlace de cliente de AWS Site-to-Site VPN)
Private certificate from AWS Private Certificate Authority (Certificado privado de AWS Private Certificate Authority)