AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成する方法を教えてください。

所要時間1分
0

AWS Site-to-Site VPN を使用して、証明書ベースの IP セキュリティ (IPSec) VPN を構築したいと考えています。

簡単な説明

AWS Site-to-Site VPN は、AWS プライベート認証機関 (AWS プライベート CA) との統合による証明書ベースの認証をサポートします。インターネットキーエクスチェンジ (IKE) 認証用の事前共有キーの代わりに、デジタル証明書を使用して、静的または動的なカスタマーゲートウェイ IP アドレスを使用して IPSec トンネルを構築します。

注: Site-to-Site VPN には、外部自己署名証明書を使用できません。証明書オプションの詳細については、「AWS Site-to-Site VPN のトンネル認証オプション」を参照してください。

解決策

ルートと下位のプライベート CA 証明書をインストールする

ルート CA 証明書と下位 CA 証明書を作成してインストールします

プライベート証明書をリクエストまたは作成する

既存のプライベート証明書がある場合、AWS Certificate Manager (ACM) は、カスタマーゲートウェイデバイスの ID 証明書として使用する証明書をリクエストできます。既存のプライベート証明書がない場合は、作成してください

プライベート証明書を発行できるのは下位 CA のみであり、下位 CA は AWS Certificate Manager (ACM) に存在している必要があります。下位 CA が ACM にない場合は、証明書署名リクエスト (CSR) を作成し、署名された下位 CA を ACM にインポートすることで対応できます。

カスタマーゲートウェイを作成する

VPN 接続用のカスタマーゲートウェイを作成します。

  1. Amazon Virtual Private Cloud (Amazon VPC)コンソールを開きます。
  2. [カスタマーゲートウェイ] を選択します。次に、[カスタマーゲートウェイを作成する] を選択します。
  3. [名前] に、カスタマーゲートウェイの名前を入力します。
  4. [ルーティング] では、ユースケースに応じたルーティングタイプを選択します。
  5. カスタマーゲートウェイの IP アドレスが動的である場合は、[IP アドレス] フィールドを空白のままにしておきます。カスタマーゲートウェイの IP アドレスが静的な場合は、このフィールドを空白のままにするか、IPアドレスを指定するかを選択できます。
  6. [証明書 ARN] では、プライベート証明書の証明書 ARN を選択します。
  7. (オプション) [デバイス] には、デバイス名を入力します。
  8. [カスタマーゲートウェイを作成する] を選択します。

Site-to-Site VPN を設定する

仮想プライベートゲートウェイを使用して AWS Site-to-Site VPN 接続を設定します

証明書をカスタマーゲートウェイデバイスにコピーする

プライベート証明書、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーします。

**注:**AWS VPN が認証用の証明書をリクエストすると、カスタマーゲートウェイデバイスはプライベート証明書を提示します。ただし、カスタマーゲートウェイデバイスには 3 つの証明書がすべて存在している必要があります。カスタマーゲートウェイデバイスにすべての証明書がない場合、VPN 認証は失敗します。

関連情報

AWS Site-to-Site VPN カスタマーゲートウェイデバイス

AWS プライベート認証機関からのプライベート証明書

コメントはありません

関連するコンテンツ