Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
Come posso utilizzare VPN sito-sito AWS per creare una VPN basata su certificati?
Desidero utilizzare VPN sito-sito AWS per l'autenticazione VPN IPSec (Internet Protocol Security) basata su certificati. Desidero che questo sostituisca l'uso di una chiave precondivisa per l'autenticazione Internet Key Exchange (IKE).
Breve descrizione
VPN sito-sito supporta l'autenticazione basata su certificati tramite l'integrazione con l’Autorità privata per la gestione del certificato AWS (CA privata AWS). Puoi utilizzare certificati digitali per creare tunnel IPsec con indirizzi IP del gateway cliente statici o dinamici.
Nota: non puoi utilizzare un certificato autofirmato esterno per VPN sito-sito. Per ulteriori informazioni sulle opzioni relative ai certificati, consulta AWS Site-to-Site VPN tunnel authentication options.
Risoluzione
Per creare una connessione VPN basata su certificati con VPN sito-sito, completa i seguenti passaggi.
Crea e installa un certificato CA privato principle e subordinato
Crea un'autorità di certificazione (CA) principale e una CA subordinata in CA privata AWS. Solo le CA subordinate ospitate in Gestione certificati AWS (ACM) possono emettere certificati privati per AWS Site-to-Site VPN.
Per ulteriori informazioni sulla creazione di una CA privata, consulta Crea una CA privata in CA privata AWS.
Nota: Se preferisci utilizzare una CA esterna, crea solo la CA subordinata in CA privata AWS. Installa un certificato CA subordinato firmato da una CA principale esterna.
Richiedi o crea un certificato privato
Utilizza Gestione certificati AWS (ACM) per richiedere un certificato privato per il dispositivo gateway del cliente che utilizza la CA subordinata.
Crea un gateway del cliente
Creare un gateway del cliente per la connessione VPN:
- Apri la console Amazon Virtual Private Cloud (Amazon VPC).
- Scegli Gateway del cliente. Quindi, scegli Crea gateway del cliente.
- In Nome, inserisci un nome per il gateway del cliente.
- Per Routing, seleziona il tipo di routing più adatto al caso d'uso.
- Per Iindirizzo IP, effettua una delle seguenti operazioni:
Mantieni il campo vuoto se l'indirizzo IP è dinamico.
Mantieni il campo vuoto o specifica l'indirizzo IP se è statico. - Per ARN del certificato, scegli l'ARN del certificato privato.
- (Facoltativo) Per Dispositivo, inserisci un nome di dispositivo.
- Scegli Crea gateway del cliente.
Configura la VPN sito-sito
Configura la connessione VPN sito-sito e associala a un gateway privato virtuale o a un gateway di transito, a seconda dell'architettura di rete. Per ulteriori informazioni, consulta Creazione di un gateway di destinazione.
Copia i certificati sul dispositivo gateway del cliente
Esporta i seguenti certificati da ACM, quindi importali nel dispositivo gateway del cliente:
- Certificato privato
- Certificato CA subordinato
- Certificato CA principale
Nota: quando VPN AWS richiede un certificato per l'autenticazione, il dispositivo gateway del cliente presenta il certificato privato. Tuttavia, il dispositivo gateway del cliente deve avere tutti e tre i certificati disponibili. Se manca un certificato, l'autenticazione VPN non riesce.
Informazioni correlate
- Argomenti
- Networking & Content Delivery
- Lingua
- Italiano
