Come posso utilizzare VPN sito-sito AWS per creare una VPN basata su certificati?

3 minuti di lettura
0

Desidero utilizzare VPN sito-sito AWS per creare una VPN di sicurezza IP (IPSec) basata su certificati.

Breve descrizione

VPN sito-sito AWS supporta l'autenticazione basata su certificati tramite l'integrazione con l’Autorità di certificazione privata AWS (AWS Private CA). Utilizza certificati digitali per creare tunnel IPSec con indirizzi IP gateway del cliente statici o dinamici, anziché chiavi precondivise per l'autenticazione Internet Key Exchange (IKE).

Nota: non puoi utilizzare un certificato autofirmato esterno per VPN sito-sito. Per ulteriori informazioni sulle opzioni relative ai certificati, consulta AWS Site-to-Site VPN tunnel authentication options.

Risoluzione

Installa un certificato CA privato root e subordinato

Crea e installa un certificato CA root e un certificato CA subordinato.

Richiedi o crea un certificato privato

Se disponi di un certificato privato esistente, Gestione certificati AWS (ACM) può richiedere il certificato da utilizzare come certificato di identità per il dispositivo gateway del cliente. Se non disponi di un certificato privato esistente, creane uno.

Solo la CA subordinata può emettere il certificato privato e la CA subordinata deve essere in Gestione certificati AWS (ACM). Se la CA subordinata non è in ACM, puoi creare una richiesta di firma del certificato (CSR) e importare la CA subordinata firmata in ACM.

Crea un gateway del cliente

Creare un gateway del cliente per la tua connessione VPN:

  1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Scegli Gateway del cliente. Quindi, scegli Crea gateway del cliente.
  3. In Nome, inserisci un nome per il gateway del cliente.
  4. Per Routing, seleziona il tipo di routing più adatto al tuo caso d'uso.
  5. Se l'indirizzo IP del gateway del cliente è dinamico, lascia vuoto il campo Indirizzo IP. Se l'indirizzo IP del gateway del cliente è statico, puoi scegliere di lasciare vuoto questo campo oppure specificare l'indirizzo IP.
  6. Per Certificato ARN, scegli il certificato ARN per il tuo certificato privato.
  7. (Facoltativo) Per Dispositivo, inserisci un nome di dispositivo.
  8. Scegli Crea gateway del cliente.

Configura la VPN sito-sito

Configura la connessione VPN sito-sito AWS con un gateway privato virtuale.

Copia i certificati sul dispositivo gateway del cliente

Copia il certificato privato, il certificato CA root e il certificato CA subordinato sul dispositivo gateway del cliente.

Nota: Quando la VPN AWS richiede un certificato per l'autenticazione, il dispositivo gateway del cliente presenta il certificato privato. Tuttavia, il dispositivo gateway del cliente deve avere tutti e tre i certificati presenti. Se il dispositivo gateway del cliente non dispone di tutti i certificati, l'autenticazione VPN fallisce.

Informazioni correlate

AWS Site-to-Site VPN customer gateway devices

Private certificate from AWS Private Certificate Authority