Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
如何使用 AWS Site-to-Site VPN 建立憑證型 VPN?
我想使用 AWS Site-to-Site VPN 進行憑證型 I網際網路通訊協定安全 (IPsec) VPN 驗證。我希望它能夠取代使用預先共用金鑰進行網際網路金鑰交換 (IKE) 驗證。
簡短描述
Site-to-Site VPN 會支援透過與 AWS 私有憑證管理中心 (AWS Private CA) 整合的憑證型驗證。您可以使用數位憑證來建立具有靜態或動態客戶閘道 IP 位址的 IPsec 通道。
**注意:**您無法針對 Site-to-Site VPN 使用外部的自我簽署憑證。如需憑證選項的詳細資訊,請參閱 AWS Site-to-Site VPN 通道驗證選項。
解決方法
若要使用 Site-to-Site VPN 建立憑證型 VPN 連線,請完成下列步驟。
建立並安裝根和從屬私有 CA 憑證
在 AWS Private CA 中建立根憑證認證機構 (CA) 和從屬 CA。只有在 AWS Certificate Manager (ACM) 中託管的從屬 CA 才能為 AWS Site-to-Site VPN 核發私有憑證。
如需建立私有 CA 的詳細資訊,請參閱在 AWS Private CA 中建立私有 CA。
注意: 如果您喜歡使用外部 CA,請僅在 AWS Private CA 中建立從屬 CA。安裝由外部上層 CA 簽署的從屬 CA 憑證。
請求或建立私有憑證
使用 AWS Certificate Manager (ACM) 為使用從屬 CA 的客戶閘道裝置請求私有憑證。
建立客戶閘道
為 VPN 連線建立客戶閘道:
- 開啟 Amazon Virtual Private Cloud (Amazon VPC) console (Amazon Virtual Private Cloud (Amazon VPC) 主控台)。
- 選擇 Customer Gateways (客戶閘道)。然後,選擇「建立客戶閘道」。
- 針對「名稱」,輸入客戶閘道的名稱。
- 在 Routing (路由) 中,請為您的使用案例選取路由類型。
- 在 ** IP 位址** 中,請執行下列其中一項作業:
如果 IP 位址是動態的,請將欄位保留空白。
將欄位保留空白,或如果是靜態 IP 位址,則指定 IP 位址 - 在 Certificate ARN (憑證 ARN) 中,選擇私有憑證的憑證 ARN。
- (選用項目) 針對「裝置」,輸入裝置名稱。
- 選擇 Create Customer Gateway (建立客戶閘道)。
設定 Site-to-Site VPN
根據您的網路架構,設定 Site-to-Site VPN 連線,並將其與虛擬私有閘道或傳輸閘道建立關聯。如需詳細資訊,請參閱建立目標閘道。
將憑證複製到客戶閘道裝置
從 ACM 匯出以下憑證,然後將其匯入到客戶閘道裝置:
- 私有憑證
- 從屬 CA 憑證
- 根 CA 憑證
**注意:**當 AWS VPN 請求憑證進行驗證時,客戶閘道裝置會提供私有憑證。但是,客戶閘道裝置必須具備所有三個憑證。如果缺少任何憑證,則 VPN 驗證會失敗。
相關資訊
- 語言
- 中文 (繁體)
