AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成する方法を教えてください。
AWS Site-to-Site VPN を使用して、証明書ベースの IP セキュリティ (IPSec) 仮想プライベートネットワーク (VPN) を構築したいと考えています。
簡単な説明
AWS Site-to-Site VPN は、AWS プライベート認証局 (AWS プライベート CA) との統合による証明書ベースの認証をサポートします。インターネットキーエクスチェンジ (IKE) 認証用の事前共有キーの代わりに、デジタル証明書を使用して、静的または動的なカスタマーゲートウェイ IP アドレスを使用して IPSec トンネルを構築します。
**注:**Site-to-Site VPN には外部の自己署名証明書を使用できません。証明書オプションの詳細については、「Site-to-Site VPN トンネル認証オプション」を参照してください。
解決策
ルートと下位のプライベート CA 証明書をインストールする
ルート CA 証明書と下位 CA 証明書を作成してインストールします。
プライベート証明書をリクエストまたは作成する
既存のプライベート証明書がある場合、AWS Certificate Manager (ACM) は、カスタマーゲートウェイデバイスの ID 証明書として使用する証明書をリクエストできます。既存のプライベート証明書がない場合は、作成してください。
プライベート証明書を発行できるのは下位 CA のみであり、下位 CA は AWS Certificate Manager (ACM) に存在している必要があります。下位 CA が ACM にない場合は、証明書署名リクエスト (CSR) を作成し、署名された下位 CA を ACM にインポートできます。
カスタマーゲートウェイを作成する
VPN 接続用のカスタマーゲートウェイを作成します。
- Amazon Virtual Private Cloud (Amazon VPC)コンソールを開きます。
- [カスタマーゲートウェイ] を選択します。次に、[カスタマーゲートウェイを作成する] を選択します。
- [名前] に、カスタマーゲートウェイの名前を入力します。
- [ルーティング] では、ユースケースに応じたルーティングタイプを選択します。
- カスタマーゲートウェイの IP アドレスが動的である場合は、[IP アドレス] フィールドを空白のままにしておきます。カスタマーゲートウェイの IP アドレスが静的な場合は、このフィールドを空白のままにするか、IPアドレスを指定するかを選択できます。
- [証明書 ARN] では、プライベート証明書の証明書 ARN を選択します。
- (オプション) [デバイス] には、デバイス名を入力します。
- [カスタマーゲートウェイを作成する] を選択します。
Site-to-Site VPN を設定する
仮想プライベートゲートウェイを使用して AWS Site-to-Site VPN 接続を設定します。
証明書をカスタマーゲートウェイデバイスにコピーする
プライベート証明書、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーします。
**注:**AWS VPN が認証用の証明書をリクエストすると、カスタマーゲートウェイデバイスはプライベート証明書を提示します。ただし、カスタマーゲートウェイデバイスには 3 つの証明書がすべて存在している必要があります。カスタマーゲートウェイデバイスにすべての証明書がない場合、VPN 認証は失敗します。
関連情報
関連するコンテンツ
- 質問済み 15日前
AWS公式更新しました 9ヶ月前- AWS公式更新しました 8ヶ月前
- AWS公式更新しました 9ヶ月前
