¿Cómo se usa AWS Site-to-Site VPN para crear una VPN basada en certificados?

3 minutos de lectura
0

Quiero usar AWS Site-to-Site VPN para crear una red privada virtual (VPN) de seguridad IP (IPsec) basada en certificados.

Breve descripción

AWS Site-to-Site VPN admite la autenticación basada en certificados gracias a la integración con la AWS Private Certificate Authority (AWS Private CA). Utilice los certificados digitales para crear túneles IPsec con direcciones IP de puerta de enlace de cliente estáticas o dinámicas en lugar de claves compartidas previamente para la autenticación de intercambio de claves de Internet (IKE).

Nota: No puede usar un certificado autofirmado externo para Site-to-Site VPN. Para obtener más información sobre las opciones de certificado, consulte Opciones de autenticación de un túnel de Site-to-Site VPN.

Solución

Instalación de un certificado privado de CA raíz y de CA subordinada

Cree e instale un certificado de CA raíz y un certificado de CA subordinada.

Solicitud o creación de un certificado privado

Si ya tiene un certificado privado, AWS Certificate Manager (ACM) puede solicitar el certificado para usarlo como certificado de identidad para su dispositivo de puerta de enlace de cliente. Si no tiene ningún certificado privado, puede crearlo.

Solo la CA subordinada, que debe estar en AWS Certificate Manager (ACM), puede emitir el certificado privado. Si su CA subordinada no está en ACM, puede crear una solicitud de firma de certificados (CSR) e importar la CA subordinada firmada a ACM.

Creación de una puerta de enlace de cliente

Cree una puerta de enlace de cliente para su conexión VPN:

  1. Abra la consola de Amazon Virtual Private Cloud (Amazon VPC).
  2. Elija Gateways de cliente. A continuación, elija Crear gateway de cliente.
  3. En Nombre, introduzca un nombre para su puerta de enlace de cliente.
  4. En Direccionamiento, seleccione el tipo de direccionamiento para su caso de uso.
  5. Si la dirección IP de la puerta de enlace de cliente es dinámica, deje el campo Dirección IP en blanco. Si la dirección IP de la puerta de enlace de cliente es estática, puede dejar el campo en blanco o especificar la dirección IP.
  6. En ARN del certificado, elija el ARN para su certificado privado.
  7. (Opcional) En Dispositivo, introduzca un nombre para el dispositivo.
  8. Elija Crear gateway de cliente.

Configuración de Site-to-Site VPN

Configure la conexión de AWS Site-to-Site VPN con una puerta de enlace privada virtual.

Copia de los certificados en el dispositivo de puerta de enlace de cliente

Copie el certificado privado, el certificado de CA raíz y el certificado de CA subordinada en el dispositivo de puerta de enlace de cliente.

Nota: El dispositivo de puerta de enlace de cliente presenta el certificado privado cuando la VPN de AWS lo solicita para la autenticación. Sin embargo, el dispositivo de puerta de enlace de cliente debe contar con los tres certificados. Si el dispositivo de puerta de enlace de cliente no tiene todos los certificados, se produce un error en la autenticación de la VPN.

Información relacionada

Requisitos para el dispositivo de gateway del cliente

Certificado privado de AWS Private Certificate Authority