Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
Comment puis-je utiliser AWS Site-to-Site VPN pour créer un VPN basé sur des certificats ?
Je souhaite utiliser AWS Site-to-Site VPN pour l'authentification VPN IPsec (Internet Protocol Security) basée sur des certificats. Je souhaite que ce dernier remplace l'utilisation d'une clé pré-partagée pour l'authentification IKE (Internet Key Exchange).
Brève description
Le VPN site à site prend en charge l'authentification basée sur des certificats grâce à l'intégration à AWS Private Certificate Authority (AWS Private CA). Vous pouvez utiliser des certificats numériques pour construire des tunnels IPsec avec des adresses IP de passerelle client statiques ou dynamiques.
Remarque : Vous ne pouvez pas utiliser de certificat externe auto-signé pour le VPN site à site. Pour plus d'informations sur les options de certificat, consultez la section Options d'authentification du tunnel AWS Site-to-Site VPN.
Résolution
Pour créer une connexion VPN basée sur un certificat avec un VPN site à site, procédez comme suit.
Créer et installer un certificat de CA privée racine et subordonnée
Créez une autorité de certification (CA) racine et une CA subordonnée dans AWS Private CA. Seules les CA subordonnées hébergées dans AWS Certificate Manager (ACM) peuvent émettre des certificats privés pour l’AWS Site-to-Site VPN.
Pour en savoir plus sur la création d'une CA privée, consultez la section Créer une CA privée dans AWS Private CA.
Remarque : Si vous préférez utiliser une CA externe, créez uniquement la CA subordonnée dans AWS Private CA. Installez un certificat de CA subordonnée signé par une CA parente externe.
Demander ou créer un certificat privé
Utilisez AWS Certificate Manager (ACM) pour demander un certificat privé pour le périphérique de passerelle client qui utilise la CA subordonnée.
Créer une passerelle client
Créez une passerelle client pour votre connexion VPN :
- Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
- Choisissez Passerelles client. Choisissez ensuite Créer une passerelle client.
- Dans ** Nom**, entrez le nom de votre passerelle client.
- Dans Routage, sélectionnez le type de routage adapté à votre cas d'utilisation.
- Dans Adresse IP, effectuez l'une des opérations suivantes :
Laissez le champ vide si l'adresse IP est dynamique.
Laissez le champ vide ou spécifiez l'adresse IP si elle est statique - Dans ARN du certificat, choisissez l'ARN du certificat pour votre certificat privé.
- (Facultatif) Dans Appareil, entrez un nom d'appareil.
- Choisissez Créer une passerelle client.
Configurer le VPN site à site
Configurez la connexion du VPN site à site et associez-la à une passerelle privée virtuelle ou à une passerelle de transit, en fonction de votre architecture réseau. Pour plus d'informations, consultez la section Créer une passerelle cible.
Copier les certificats sur le périphérique de passerelle client
Exportez les certificats suivants depuis ACM, puis importez-les sur le périphérique de passerelle client :
- Certificat privé
- Certificat de CA subordonnée
- Certificat de CA racine
Remarque : Lorsque le VPN AWS demande un certificat d'authentification, le périphérique de passerelle client présente le certificat privé. Cependant, les trois certificats doivent être présents sur le périphérique de passerelle client. Si un certificat est manquant, l'authentification VPN échoue.
Informations connexes
- Langue
- Français
Contenus pertinents
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 2 ans
- demandé il y a 2 ans