¿Cómo puedo usar AWS Site-to-Site VPN para crear una VPN basada en certificados?

Descripción corta

Site-to-Site VPN admite la autenticación basada en certificados gracias a la integración con la AWS Private Certificate Authority (AWS Private CA). Puedes usar certificados digitales para construir túneles IPsec con direcciones IP de puerta de enlace de cliente estáticas o dinámicas.

Nota: No puedes usar un certificado autofirmado externo para Site-to-Site VPN. Para obtener más información sobre las opciones de certificado, consulta AWS Site-to-Site VPN tunnel authentication options (Opciones de autenticación de un túnel de AWS Site-to-Site VPN).

Resolución

Para crear una conexión VPN basada en certificados con Site-to-Site VPN, sigue estos pasos.

Creación e instalación de un certificado privado de CA raíz y de CA subordinada

Crea una entidad emisora de certificados (CA) raíz y una entidad emisora de certificados subordinada en AWS Private CA. Solo las CA subordinadas alojadas en AWS Certificate Manager (ACM) pueden emitir certificados privados para AWS Site-to-Site VPN.

Para obtener más información sobre la creación de una CA privada, consulta Creación de una CA privada en AWS Private CA.

Nota: Si prefieres usar una CA externa, crea solo la CA subordinada en AWS Private CA. Instala un certificado de CA subordinado firmado por una CA principal externa.

Solicitud o creación de un certificado privado

Utiliza AWS Certificate Manager (ACM) para solicitar un certificado privado para el dispositivo de puerta de enlace de cliente que utiliza la CA subordinada.

Creación de una puerta de enlace de cliente

Crea una puerta de enlace de cliente para tu conexión VPN:

1. Abre la consola de Amazon Virtual Private Cloud (Amazon VPC).
2. Elige Puertas de enlace de cliente. A continuación, elige Crear gateway de cliente.
3. En Nombre, introduce un nombre para tu puerta de enlace de cliente.
4. En Enrutamiento, selecciona el Tipo de enrutamiento para tu caso de uso.
5. En Dirección IP, realiza una de las siguientes acciones:
   Mantén el campo vacío si la dirección IP es dinámica.
   Mantén el campo vacío o especifica la dirección IP si es estática.
6. En ARN del certificado, elige el ARN para tu certificado privado.
7. (Opcional) En Dispositivo, introduce un nombre para el dispositivo.
8. Elige Crear puerta de enlace de cliente.

Configuración de Site-to-Site VPN

Configura la conexión de Site-to-Site VP y asóciala a una puerta de enlace privada virtual o una puerta de enlace de tránsito, según la arquitectura de tu red. Para obtener más información, consulta Creación de una puerta de enlace de objetivo.

Copia de los certificados en el dispositivo de puerta de enlace de cliente

Exporta los siguientes certificados de ACM y, a continuación, impórtalos al dispositivo de puerta de enlace de cliente:

• Certificado privado
• Certificado de CA subordinado
• Certificado de CA raíz

Nota: El dispositivo de puerta de enlace de cliente presenta el certificado privado cuando la VPN de AWS lo solicita para la autenticación. Sin embargo, el dispositivo de puerta de enlace de cliente debe tener los tres certificados disponibles. Si falta algún certificado, se produce un error en la autenticación de VPN.

Información relacionada

AWS Site-to-Site VPN customer gateway devices (Dispositivos de puerta de enlace de cliente de AWS Site-to-Site VPN)

Private certificate from AWS Private Certificate Authority (Certificado privado de AWS Private Certificate Authority)