AWS Site-to-Site VPN を使用して、証明書ベースの IP セキュリティ (IPSec) VPN を構築したいと考えています。
AWS Site-to-Site VPN は、AWS プライベート認証機関 (AWS プライベート CA) との統合による証明書ベースの認証をサポートします。インターネットキーエクスチェンジ (IKE) 認証用の事前共有キーの代わりに、デジタル証明書を使用して、静的または動的なカスタマーゲートウェイ IP アドレスを使用して IPSec トンネルを構築します。
注: Site-to-Site VPN には、外部自己署名証明書を使用できません。証明書オプションの詳細については、「AWS Site-to-Site VPN のトンネル認証オプション」を参照してください。
ルート CA 証明書と下位 CA 証明書を作成してインストールします。
既存のプライベート証明書がある場合、AWS Certificate Manager (ACM) は、カスタマーゲートウェイデバイスの ID 証明書として使用する証明書をリクエストできます。既存のプライベート証明書がない場合は、作成してください。
プライベート証明書を発行できるのは下位 CA のみであり、下位 CA は AWS Certificate Manager (ACM) に存在している必要があります。下位 CA が ACM にない場合は、証明書署名リクエスト (CSR) を作成し、署名された下位 CA を ACM にインポートすることで対応できます。
VPN 接続用のカスタマーゲートウェイを作成します。
仮想プライベートゲートウェイを使用して AWS Site-to-Site VPN 接続を設定します。
プライベート証明書、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーします。
**注:**AWS VPN が認証用の証明書をリクエストすると、カスタマーゲートウェイデバイスはプライベート証明書を提示します。ただし、カスタマーゲートウェイデバイスには 3 つの証明書がすべて存在している必要があります。カスタマーゲートウェイデバイスにすべての証明書がない場合、VPN 認証は失敗します。
AWS Site-to-Site VPN カスタマーゲートウェイデバイス
AWS プライベート認証機関からのプライベート証明書