Direkt zum Inhalt
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Wie verwende ich AWS Site-to-Site VPN, um ein zertifikatsbasiertes VPN zu erstellen?

Lesedauer: 3 Minute
0

Ich möchte AWS Site-to-Site VPN für die zertifikatsbasierte Internet Protocol Security (IPSec)-VPN-Authentifizierung verwenden. Ich möchte, dass dies die Verwendung eines Pre-Shared-Schlüssel für die Internet Key Exchange (IKE)-Authentifizierung ersetzt.

Kurzbeschreibung

Site-to-Site VPN unterstützt die zertifikatsbasierte Authentifizierung durch die Integration mit der AWS Private Certificate Authority (AWS Private CA). Du kannst digitale Zertifikate verwenden, um IPSec-Tunnel mit statischen oder dynamischen Kunden-Gateway-IP-Adressen aufzubauen.

Hinweis: Du kannst kein externes selbstsigniertes Zertifikat für Site-to-Site VPN verwenden. Weitere Informationen zu Zertifikatsoptionen findest du unter Site-to-Site-VPN-Tunnelauthentifizierungsoptionen.

Lösung

Gehe wie folgt vor, um eine zertifikatsbasierte VPN-Verbindung mit Site-to-Site VPN herzustellen.

Ein Stamm- und ein untergeordnetes privates CA-Zertifikat erstellen und installieren

Erstelle eine Stammzertifizierungsstelle (CA) und eine untergeordnete CA in AWS Private CA. Nur untergeordnete Zertifizierungsstellen, die in AWS Certificate Manager (ACM) gehostet werden, können private Zertifikate für AWS Site-to-Site VPN ausstellen.

Weitere Informationen zum Erstellen einer privaten CA findest du unter Eine private CA in AWS Private CA erstellen.

Hinweis: Wenn du lieber eine externe CA verwenden möchtest, erstelle nur die untergeordnete CA in AWS Private CA. Installiere ein untergeordnetes CA-Zertifikat, das von einer externen übergeordneten CA signiert wurde.

Privates Zertifikat anfordern oder erstellen

Verwende AWS Certificate Manager (ACM), um ein privates Zertifikat für das Kunden-Gateway-Gerät anzufordern, das die untergeordnete CA verwendet.

Erstellen eines Kunden-Gateways

Erstellen eines Kunden-Gateways für deine VPN-Verbindung:

  1. Öffne die Konsole der Amazon Virtual Private Cloud (Amazon VPC).
  2. Wähle Customer Gateways. Wähle dann Kunden-Gateway erstellen aus.
  3. Gib unter Name einen Namen für dein Kunden-Gateway ein.
  4. Wähle für Routing den Routing-Typ für deinen Anwendungsfall aus.
  5. Gehe für IP-Adresse wie folgt vor:
    Lasse das Feld leer, wenn die IP-Adresse dynamisch ist.
    Das Feld leer lassen oder gib die IP-Adresse an, wenn sie statisch ist
  6. Wähle für Certificate ARN den Zertifikat-ARN für dein privates Zertifikat.
  7. (Optional) Gib für Gerät einen Gerätenamen ein.
  8. Wähle Kunden-Gateway erstellen.

Site-to-Site VPN konfigurieren

Konfiguriere die Site-to-Site-VPN-Verbindung und verknüpfe sie je nach Netzwerkarchitektur mit einem Virtual Private Gateway oder Transit-Gateway. Weitere Informationen findest du unter Ziel-Gateway erstellen.

Zertifikate auf das Kunden-Gateway-Gerät kopieren

Exportiere die folgenden Zertifikate aus ACM und importiere sie dann auf das Kunden-Gateway-Gerät:

  • Privates Zertifikat
  • Untergeordnetes CA-Zertifikat
  • Stamm-CA-Zertifikat

**Hinweis:**Wenn das AWS-VPN ein Zertifikat zur Authentifizierung anfordert, legt das Kunden-Gateway-Gerät das private Zertifikat vor. Auf dem Kunden-Gateway-Gerät müssen jedoch alle drei Zertifikate verfügbar sein. Wenn ein Zertifikat fehlt, schlägt die VPN-Authentifizierung fehl.

Ähnliche Informationen

Kunden-Gateway-Geräte für das AWS Site-to-Site VPN

Privates Zertifikat von AWS Private Certificate Authority

Themen
Networking & Content Delivery
Tags
AWS Client VPNAWS Virtual Private Network (VPN)
Sprache
Deutsch

Ähnliche Videos

Sieh dir Adityas Video an, um mehr zu erfahren (8:21)
Sieh dir Adityas Video an, um mehr zu erfahren (8:21)
AWS OFFICIALAktualisiert vor 9 Monaten

Relevanter Inhalt