For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成する方法を教えてください。
証明書ベースのインターネットプロトコルセキュリティ (IPsec) VPN 認証に AWS Site-to-Site VPN を使用したいです。Internet Key Exchange (IKE) 認証において、事前共有キーの代わりにこちらを使用するようにしたいです。
簡単な説明
Site-to-Site VPN は、AWS プライベート認証機関 (AWS Private CA) との統合による証明書ベースの認証をサポートします。デジタル証明書を使用すると、静的または動的なカスタマーゲートウェイの IP アドレスを持つ IPsec トンネルを構築できます。
注: Site-to-Site VPN には、外部自己署名証明書を使用できません。証明書オプションの詳細については、「AWS Site-to-Site VPN のトンネル認証オプション」を参照してください。
解決策
Site-to-Site VPN を使用して証明書ベースの VPN 接続を作成するには、次の手順を実行します。
ルートと下位のプライベート CA 証明書を作成し、インストールする
AWS Private CA でルート認証機関 (CA) と下位認証機関を作成します。AWS Certificate Manager (ACM) でホストされている下位 CA のみが、AWS Site-to-Site VPN 用のプライベート証明書を発行できます。
プライベート CA の作成に関する詳細については、「AWS Private CA でプライベート CA を作成する」を参照してください。
注: 外部 CA を使用する場合は、AWS Private CA では下位 CA のみを作成してください。外部の親 CA によって署名された下位 CA 証明書をインストールします。
プライベート証明書をリクエストまたは作成する
AWS Certificate Manager (ACM) を使用して、下位 CA を使用するカスタマーゲートウェイデバイス用のプライベート証明書をリクエストします。
カスタマーゲートウェイを作成する
VPN 接続用のカスタマーゲートウェイを作成します。
- Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
- [カスタマーゲートウェイ] を選択します。次に、[カスタマーゲートウェイを作成する] を選択します。
- [名前] に、カスタマーゲートウェイの名前を入力します。
- [ルーティング] では、ユースケースに応じたルーティングタイプを選択します。
- [IP アドレス] で次のいずれかを実行します。
IP アドレスが動的な場合は、フィールドを空のままにします。
フィールドを空白のままにするか、IP アドレスが静的である場合は指定する - [証明書 ARN] でプライベート証明書の証明書 ARN を選択します。
- (オプション) [デバイス] には、デバイス名を入力します。
- [カスタマーゲートウェイを作成] を選択します。
Site-to-Site VPN を設定する
サイト間 VPN 接続を設定し、ネットワークアーキテクチャに応じて仮想プライベートゲートウェイまたは Transit Gateway に関連付けます。詳細については、「ターゲットゲートウェイを作成する」を参照してください。
証明書をカスタマーゲートウェイデバイスにコピーする
ACM から次の証明書をエクスポートし、カスタマーゲートウェイデバイスにインポートします。
- プライベート証明書
- 下位 CA 証明書
- ルート CA 証明書
注: AWS VPN が認証用の証明書をリクエストすると、カスタマーゲートウェイデバイスはプライベート証明書を提示します。ただし、カスタマーゲートウェイデバイスでは、3 種類の証明書がすべて使用できる必要があります。いずれかの証明書が欠けている場合、VPN 認証は失敗します。
関連情報
- 言語
- 日本語
関連するコンテンツ
- 質問済み 9ヶ月前
