Como usar a AWS Site-to-Site VPN para criar uma VPN baseada em certificado?

3 minuto de leitura

Quero usar o AWS Site-to-Site VPN para criar uma rede privada virtual (VPN) de segurança IP (IPsec) baseada em certificado.

Breve descrição

A AWS Site-to-Site VPN oferece suporte à autenticação baseada em certificados por meio da integração com a Autoridade de certificação privada da AWS (AWS Private CA). Use certificados digitais para criar túneis IPsec com endereços IP de gateway de cliente estáticos ou dinâmicos em vez de chaves pré-compartilhadas para autenticação Internet Key Exchange (IKE).

Observação: você não pode usar um certificado externo autoassinado para VPN site a site. Para obter mais informações sobre as opções de certificado, consulte Opções de autenticação de túnel VPN site a site.

Resolução

Instale um certificado CA privado raiz e subordinado

Crie e instale um certificado CA raiz e um certificado CA subordinado.

Solicitar ou criar um certificado privado

Se você já tiver um certificado privado, o AWS Certificate Manager (ACM) poderá solicitar que o certificado seja usado como certificado de identidade para seu dispositivo de gateway do cliente. Se você não tiver um certificado privado existente, crie um.

Somente a CA subordinada pode emitir o certificado privado, e a CA subordinada deve estar no AWS Certificate Manager (ACM). Se sua CA não estiver no ACM, você poderá criar uma solicitação de assinatura de certificado (CSR) e importar a CA subordinada assinada para o ACM.

Crie um gateway do cliente

Criar um gateway de cliente para sua conexão VPN:

Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
Escolha Gateways do cliente. Em seguida, escolha Criar gateway do cliente.
Em Nome, insira um nome para o gateway do cliente.
Em Roteamento, selecione o tipo de roteamento para seu caso de uso.
Deixe o campo Endereço IP vazio se o endereço IP do gateway do cliente for dinâmico. Se o endereço IP do gateway do cliente for estático, você poderá optar por deixar esse campo vazio ou especificar o endereço IP.
Para Certificado ARN, escolha o ARN do certificado para seu certificado privado.
(Opcional) Em Dispositivo, insira o nome do dispositivo.
Escolha Criar gateway do cliente.

Configurar a VPN site a site

Configurar a conexão da AWS Site-to-Site VPN com um gateway privado virtual.

Copiar certificados para o dispositivo de gateway do cliente

Copie o certificado privado, o certificado CA raiz e o certificado CA subordinado para o dispositivo gateway do cliente.

Observação: quando a VPN da AWS solicita um certificado para autenticação, o dispositivo de gateway do cliente apresenta o certificado privado. No entanto, o dispositivo de gateway do cliente deve ter todos os três certificados presentes. Se o dispositivo de gateway do cliente não tiver todos os certificados, a autenticação VPN falhará.

Informações relacionadas

Requisitos para seu dispositivo de gateway de cliente

Certificado privado da Autoridade de certificação privada da AWS

Tópicos

Rede e entrega de conteúdo

Vídeos relacionados

Assista ao vídeo de Aditya para saber mais (8:21)

AWS OFICIALAtualizada há 9 meses

Conteúdo relevante

Como posso criar uma VPN baseada em roteamento dinâmico usando um firewall Palo Alto e uma AWS VPN?
AWS OFICIALAtualizada há um ano
Como posso criar um endpoint do Client VPN usando a autenticação baseada em certificado?
AWS OFICIALAtualizada há 2 anos
Como faço para criar e me conectar a um endpoint do Client VPN usando certificados privados para autenticação mútua com o AWS Certificate Manager?
AWS OFICIALAtualizada há 2 anos
Como evito a assimetria na VPN baseada em rotas com roteamento estático?
AWS OFICIALAtualizada há um ano