我想使用 AWS Site-to-Site VPN 来构建基于证书的 IP 安全(IPsec)虚拟专用网络(VPN)。
AWS Site-to-Site VPN 通过与 AWS Private Certificate Authority(AWS Private CA)集成,支持基于证书的身份验证。使用数字证书构建具有静态或动态客户网关 IP 地址的 IPsec 隧道,而不是使用用于互联网密钥交换(IKE)身份验证的预共享密钥。
**注意:**您不能将外部自签名证书用于 Site-to-Site VPN。有关证书选项的更多信息,请参阅 Site-to-Site VPN 隧道身份验证选项。
创建并安装根 CA 证书和从属 CA 证书。
如果您目前已有私有证书,那么 AWS Certificate Manager(ACM)可以请求将该证书用作您的客户网关设备的身份证书。如果您目前没有私有证书,请创建一个私有证书。
只有从属 CA 才能颁发私有证书,而从属 CA 必须在 AWS Certificate Manager(ACM)中。如果您的从属 CA 不在 ACM 中,则可以创建证书签名请求(CSR)并将已签名的从属 CA 导入 ACM。
为您的 VPN 连接创建客户网关:
使用虚拟专用网关配置 AWS Site-to-Site VPN 连接。
将私有证书、根 CA 证书和从属 CA 证书复制到客户网关设备。
**注意:**当 AWS VPN 请求证书进行身份验证时,客户网关设备会提供私有证书。但是,客户网关设备必须具备所有三个证书。如果客户网关设备没有所有证书,则 VPN 身份验证将失败。
对您的客户网关设备的要求
来自 AWS Private Certificate Authority 的私有证书