AWS Site-to-Site VPN を使用して、証明書ベースの IP セキュリティ (IPSec) 仮想プライベートネットワーク (VPN) を構築したいと考えています。
AWS Site-to-Site VPN は、AWS プライベート認証局 (AWS プライベート CA) との統合による証明書ベースの認証をサポートします。インターネットキーエクスチェンジ (IKE) 認証用の事前共有キーの代わりに、デジタル証明書を使用して、静的または動的なカスタマーゲートウェイ IP アドレスを使用して IPSec トンネルを構築します。
**注:**Site-to-Site VPN には外部の自己署名証明書を使用できません。証明書オプションの詳細については、「Site-to-Site VPN トンネル認証オプション」を参照してください。
ルート CA 証明書と下位 CA 証明書を作成してインストールします。
既存のプライベート証明書がある場合、AWS Certificate Manager (ACM) は、カスタマーゲートウェイデバイスの ID 証明書として使用する証明書をリクエストできます。既存のプライベート証明書がない場合は、作成してください。
プライベート証明書を発行できるのは下位 CA のみであり、下位 CA は AWS Certificate Manager (ACM) に存在している必要があります。下位 CA が ACM にない場合は、証明書署名リクエスト (CSR) を作成し、署名された下位 CA を ACM にインポートできます。
VPN 接続用のカスタマーゲートウェイを作成します。
仮想プライベートゲートウェイを使用して AWS Site-to-Site VPN 接続を設定します。
プライベート証明書、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーします。
**注:**AWS VPN が認証用の証明書をリクエストすると、カスタマーゲートウェイデバイスはプライベート証明書を提示します。ただし、カスタマーゲートウェイデバイスには 3 つの証明書がすべて存在している必要があります。カスタマーゲートウェイデバイスにすべての証明書がない場合、VPN 認証は失敗します。
カスタマーゲートウェイデバイスの要件
AWS プライベート認証局からのプライベート証明書