我想使用 AWS Site-to-Site VPN 来构建基于证书的 IP 安全 (IPsec) VPN。
AWS Site-to-Site VPN 通过与 AWS Private Certificate Authority(AWS Private CA)集成,支持基于证书的身份验证。使用数字证书构建具有静态或动态客户网关 IP 地址的 IPsec 隧道,而不是使用用于互联网密钥交换(IKE)身份验证的预共享密钥。
**注意:**您不能将外部自签名证书用于 Site-to-Site VPN。有关证书选项的详细信息,请参阅 Site-to-Site VPN 隧道身份验证选项。
创建并安装根 CA 证书和从属 CA 证书。
如果您目前已有私有证书,那么 AWS Certificate Manager (ACM) 可以请求将该证书用作您的客户网关设备的身份证书。如果您目前没有私有证书,请创建一个私有证书。
只有从属 CA 才能颁发私有证书,而从属 CA 必须在 AWS Certificate Manager (ACM) 中。如果您的从属 CA 不在 ACM 中,则可以创建证书签名请求 (CSR) 并将已签名的从属 CA 导入 ACM。
为您的 VPN 连接创建客户网关:
使用虚拟专用网关配置 AWS Site-to-Site VPN 连接。
将私有证书、根 CA 证书和从属 CA 证书复制到客户网关设备。
**注意:**当 AWS VPN 请求证书进行身份验证时,客户网关设备会提供私有证书。但是,客户网关设备必须具备所有三个证书。如果客户网关设备没有所有证书,则 VPN 身份验证将失败。
AWS Site-to-Site VPN 客户网关设备
来自 AWS Private Certificate Authority 的私有证书