Desidero utilizzare VPN sito-sito AWS per creare una VPN di sicurezza IP (IPSec) basata su certificati.
Breve descrizione
VPN sito-sito AWS supporta l'autenticazione basata su certificati tramite l'integrazione con l’Autorità di certificazione privata AWS (AWS Private CA). Utilizza certificati digitali per creare tunnel IPSec con indirizzi IP gateway del cliente statici o dinamici, anziché chiavi precondivise per l'autenticazione Internet Key Exchange (IKE).
Nota: non puoi utilizzare un certificato autofirmato esterno per VPN sito-sito. Per ulteriori informazioni sulle opzioni relative ai certificati, consulta AWS Site-to-Site VPN tunnel authentication options.
Risoluzione
Installa un certificato CA privato root e subordinato
Crea e installa un certificato CA root e un certificato CA subordinato.
Richiedi o crea un certificato privato
Se disponi di un certificato privato esistente, Gestione certificati AWS (ACM) può richiedere il certificato da utilizzare come certificato di identità per il dispositivo gateway del cliente. Se non disponi di un certificato privato esistente, creane uno.
Solo la CA subordinata può emettere il certificato privato e la CA subordinata deve essere in Gestione certificati AWS (ACM). Se la CA subordinata non è in ACM, puoi creare una richiesta di firma del certificato (CSR) e importare la CA subordinata firmata in ACM.
Crea un gateway del cliente
Creare un gateway del cliente per la tua connessione VPN:
- Apri la console Amazon Virtual Private Cloud (Amazon VPC).
- Scegli Gateway del cliente. Quindi, scegli Crea gateway del cliente.
- In Nome, inserisci un nome per il gateway del cliente.
- Per Routing, seleziona il tipo di routing più adatto al tuo caso d'uso.
- Se l'indirizzo IP del gateway del cliente è dinamico, lascia vuoto il campo Indirizzo IP. Se l'indirizzo IP del gateway del cliente è statico, puoi scegliere di lasciare vuoto questo campo oppure specificare l'indirizzo IP.
- Per Certificato ARN, scegli il certificato ARN per il tuo certificato privato.
- (Facoltativo) Per Dispositivo, inserisci un nome di dispositivo.
- Scegli Crea gateway del cliente.
Configura la VPN sito-sito
Configura la connessione VPN sito-sito AWS con un gateway privato virtuale.
Copia i certificati sul dispositivo gateway del cliente
Copia il certificato privato, il certificato CA root e il certificato CA subordinato sul dispositivo gateway del cliente.
Nota: Quando la VPN AWS richiede un certificato per l'autenticazione, il dispositivo gateway del cliente presenta il certificato privato. Tuttavia, il dispositivo gateway del cliente deve avere tutti e tre i certificati presenti. Se il dispositivo gateway del cliente non dispone di tutti i certificati, l'autenticazione VPN fallisce.
Informazioni correlate
AWS Site-to-Site VPN customer gateway devices
Private certificate from AWS Private Certificate Authority