Quero usar o AWS Site-to-Site VPN para criar uma rede privada virtual (VPN) de segurança IP (IPsec) baseada em certificado.
Breve descrição
A AWS Site-to-Site VPN oferece suporte à autenticação baseada em certificados por meio da integração com a Autoridade de certificação privada da AWS (AWS Private CA). Use certificados digitais para criar túneis IPsec com endereços IP de gateway de cliente estáticos ou dinâmicos em vez de chaves pré-compartilhadas para autenticação Internet Key Exchange (IKE).
Observação: você não pode usar um certificado externo autoassinado para VPN site a site. Para obter mais informações sobre as opções de certificado, consulte Opções de autenticação de túnel VPN site a site.
Resolução
Instale um certificado CA privado raiz e subordinado
Crie e instale um certificado CA raiz e um certificado CA subordinado.
Solicitar ou criar um certificado privado
Se você já tiver um certificado privado, o AWS Certificate Manager (ACM) poderá solicitar que o certificado seja usado como certificado de identidade para seu dispositivo de gateway do cliente. Se você não tiver um certificado privado existente, crie um.
Somente a CA subordinada pode emitir o certificado privado, e a CA subordinada deve estar no AWS Certificate Manager (ACM). Se sua CA não estiver no ACM, você poderá criar uma solicitação de assinatura de certificado (CSR) e importar a CA subordinada assinada para o ACM.
Crie um gateway do cliente
Criar um gateway de cliente para sua conexão VPN:
- Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
- Escolha Gateways do cliente. Em seguida, escolha Criar gateway do cliente.
- Em Nome, insira um nome para o gateway do cliente.
- Em Roteamento, selecione o tipo de roteamento para seu caso de uso.
- Deixe o campo Endereço IP vazio se o endereço IP do gateway do cliente for dinâmico. Se o endereço IP do gateway do cliente for estático, você poderá optar por deixar esse campo vazio ou especificar o endereço IP.
- Para Certificado ARN, escolha o ARN do certificado para seu certificado privado.
- (Opcional) Em Dispositivo, insira o nome do dispositivo.
- Escolha Criar gateway do cliente.
Configurar a VPN site a site
Configurar a conexão da AWS Site-to-Site VPN com um gateway privado virtual.
Copiar certificados para o dispositivo de gateway do cliente
Copie o certificado privado, o certificado CA raiz e o certificado CA subordinado para o dispositivo gateway do cliente.
Observação: quando a VPN da AWS solicita um certificado para autenticação, o dispositivo de gateway do cliente apresenta o certificado privado. No entanto, o dispositivo de gateway do cliente deve ter todos os três certificados presentes. Se o dispositivo de gateway do cliente não tiver todos os certificados, a autenticação VPN falhará.
Informações relacionadas
Requisitos para seu dispositivo de gateway de cliente
Certificado privado da Autoridade de certificação privada da AWS