Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
AWS Site-to-Site VPN을 사용하여 인증서 기반 VPN을 생성하려면 어떻게 해야 합니까?
인증서 기반 IPsec(인터넷 프로토콜 보안) VPN 인증에 AWS Site-to-Site VPN을 사용하려고 합니다. IKE(인터넷 키 교환) 인증에 사전 공유 키 사용을 대체하기 위해 이 기능을 사용하고 싶습니다.
간략한 설명
Site-to-Site VPN은 AWS Private Certificate Authority(AWS Private CA)와의 통합을 통해 인증서 기반 인증을 지원합니다. 디지털 인증서를 사용하여 정적 또는 동적 고객 게이트웨이 IP 주소로 IPsec 터널을 구축할 수 있습니다.
참고: Site-to-Site VPN에는 외부 자체 서명 인증서를 사용할 수 없습니다. 인증서 옵션에 대한 자세한 내용은 AWS Site-to-Site VPN 터널 인증 옵션을 참조하십시오.
해결 방법
Site-to-Site VPN을 사용하여 인증서 기반 VPN 연결을 생성하려면 다음 단계를 완료하십시오.
루트 및 하위 프라이빗 CA 인증서 생성 및 설치
AWS Private CA에서 루트 인증 기관(CA)과 하위 CA를 생성합니다. AWS Certificate Manager(ACM)에 호스팅된 하위 CA만 AWS Site-to-Site VPN에 대한 프라이빗 인증서를 발급할 수 있습니다.
프라이빗 CA 생성에 대한 자세한 내용은 AWS Private CA에서 프라이빗 CA 생성을 참조하십시오.
참고: 외부 CA를 사용하려는 경우 AWS Private CA에 하위 CA만 생성하십시오. 외부 상위 CA에서 서명한 하위 CA 인증서를 설치합니다.
프라이빗 인증서 요청 또는 생성
AWS Certificate Manager(ACM)를 사용하여 하위 CA를 사용하는 고객 게이트웨이 디바이스에 대한 프라이빗 인증서를 요청하십시오.
고객 게이트웨이 생성
VPN 연결을 위한 고객 게이트웨이를 생성합니다.
- Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.
- 고객 게이트웨이를 선택합니다. 그 뒤, 고객 게이트웨이 생성을 선택합니다.
- 이름에 고객 게이트웨이의 이름을 입력합니다.
- 라우팅에 사용 사례에 맞는 라우팅 유형을 선택합니다.
- IP 주소에 대해 다음 중 하나를 수행합니다.
IP 주소가 동적인 경우 필드를 비워 둡니다.
필드를 비워 두거나 고정 IP 주소인 경우 IP 주소를 지정합니다. - 인증서 ARN에 프라이빗 인증서의 인증서 ARN을 선택합니다.
- (선택 사항) 디바이스에 디바이스 이름을 입력합니다.
- 고객 게이트웨이 생성을 선택합니다.
Site-to-Site VPN 구성
Site-to-Site VPN 연결을 구성하고 네트워크 아키텍처에 따라 가상 프라이빗 게이트웨이 또는 전송 게이트웨이와 연결합니다. 자세한 내용은 대상 게이트웨이 생성을 참조하십시오.
고객 게이트웨이 디바이스에 인증서 복사
ACM에서 다음 인증서를 내보낸 다음, 고객 게이트웨이 디바이스로 가져옵니다.
- 프라이빗 인증서
- 하위 CA 인증서
- 루트 CA 인증서
참고: AWS VPN이 인증을 위한 인증서를 요청하는 경우, 고객 게이트웨이 디바이스가 프라이빗 인증서를 제공합니다. 다만, 고객 게이트웨이 디바이스에는 세 개의 인증서가 모두 있어야 합니다. 인증서가 누락되면 VPN 인증이 실패합니다.
관련 정보
- 언어
- 한국어
관련 콘텐츠
- 질문됨 일 년 전
