如何使用 AWS Site-to-Site VPN 创建基于证书的 VPN？

简短描述

AWS Site-to-Site VPN 通过与 AWS Private Certificate Authority（AWS Private CA）集成，支持基于证书的身份验证。使用数字证书构建具有静态或动态客户网关 IP 地址的 IPsec 隧道，而不是使用用于互联网密钥交换（IKE）身份验证的预共享密钥。

**注意：**您不能将外部自签名证书用于 Site-to-Site VPN。有关证书选项的更多信息，请参阅 Site-to-Site VPN 隧道身份验证选项。

解决方法

安装根和从属私有 CA 证书

创建并安装根 CA 证书和从属 CA 证书。

请求或创建私有证书

如果您目前已有私有证书，那么 AWS Certificate Manager（ACM）可以请求将该证书用作您的客户网关设备的身份证书。如果您目前没有私有证书，请创建一个私有证书。

只有从属 CA 才能颁发私有证书，而从属 CA 必须在 AWS Certificate Manager（ACM）中。如果您的从属 CA 不在 ACM 中，则可以创建证书签名请求（CSR）并将已签名的从属 CA 导入 ACM。

创建客户网关

为您的 VPN 连接创建客户网关：

1. 打开 Amazon Virtual Private Cloud（Amazon VPC）控制台。
2. 选择客户网关。然后，选择创建客户网关。
3. 对于名称，输入您的客户网关的名称。
4. 对于路由，为您的用例选择路由类型。
5. 如果您的客户网关 IP 地址是动态的，则将 IP 地址字段留空。如果您的客户网关 IP 地址是静态的，则可以选择将此字段留空，或者指定 IP 地址。
6. 对于证书 ARN，为您的私有证书选择证书 ARN。
7. （可选）对于设备，输入设备名称。
8. 选择创建客户网关。

配置 Site-to-Site VPN

使用虚拟专用网关配置 AWS Site-to-Site VPN 连接。

将证书复制到客户网关设备

将私有证书、根 CA 证书和从属 CA 证书复制到客户网关设备。

**注意：**当 AWS VPN 请求证书进行身份验证时，客户网关设备会提供私有证书。但是，客户网关设备必须具备所有三个证书。如果客户网关设备没有所有证书，则 VPN 身份验证将失败。

相关信息

对您的客户网关设备的要求

来自 AWS Private Certificate Authority 的私有证书