AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

AWS Site-to-Site VPN을 사용하여 인증서 기반 VPN을 생성하려면 어떻게 해야 합니까?

2분 분량
0

AWS Site-to-Site VPN을 사용하여 인증서 기반 IP 보안(IPsec) VPN을 구축하려고 합니다.

간략한 설명

AWS Site-to-Site VPN은 AWS Private Certificate Authority(AWS Private CA)과의 통합을 통해서 인증서 기반 인증을 지원합니다. 디지털 인증서를 사용하여 Internet Key Exchange(IKE) 인증을 위해 사전 공유 키 대신 고정 또는 동적 고객 게이트웨이 IP 주소로 IPsec 터널을 구축합니다.

참고: Site-to-Site VPN에 외부 자체 서명 인증서를 사용할 수 없습니다. 인증서 옵션에 대한 자세한 내용은 AWS Site-to-Site VPN 터널 인증 옵션을 참조하십시오.

해결 방법

루트 및 하위 프라이빗 CA 인증서 설치

루트 CA 인증서 및 하위 CA 인증서를 생성하고 설치합니다.

프라이빗 인증서 요청 혹은 생성

기존 프라이빗 인증서가 존재하는 경우, AWS Certificate Manager(ACM)가 고객 게이트웨이 디바이스의 ID 인증서로 사용할 인증서를 요청할 수 있습니다. 기존 프라이빗 인증서가 없는 경우, 프라이빗 인증서를 생성합니다.

하위 CA만 프라이빗 인증서를 발급할 수 있으며, 하위 CA는 AWS Certificate Manager(ACM) 상에 존재해야 합니다. 하위 CA가 ACM에 존재하지 않는 경우, 인증서 서명 요청(CSR)을 생성하고 서명된 하위 CA를 ACM으로 가져올 수 있습니다.

고객 게이트웨이 생성

VPN 연결을 위한 고객 게이트웨이를 생성합니다.

  1. Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.
  2. 고객 게이트웨이를 선택합니다. 그 뒤, 고객 게이트웨이 생성을 선택합니다.
  3. 이름에 고객 게이트웨이의 이름을 입력합니다.
  4. 라우팅에 사용 사례에 적합한 라우팅 유형을 선택합니다.
  5. 고객 게이트웨이 IP 주소가 동적인 경우, IP 주소 필드를 빈 채로 둡니다. 고객 게이트웨이 IP 주소가 정적인 경우, 필드를 비워 두거나 IP 주소를 지정할 수 있습니다.
  6. 인증서 ARN에 프라이빗 인증서의 인증서 ARN을 선택합니다.
  7. (선택 사항) 디바이스에 디바이스 이름을 입력합니다.
  8. 고객 게이트웨이 생성을 선택합니다.

Site-to-Site VPN 구성

가상 프라이빗 게이트웨이를 사용하여 AWS Site-to-Site VPN 연결을 구성합니다.

인증서를 고객의 게이트웨이 디바이스에 복사

프라이빗 인증서, 루트 CA 인증서 및 하위 CA 인증서를 고객의 게이트웨이 디바이스에 복사합니다.

참고: AWS VPN이 인증을 위한 인증서를 요청하는 경우, 고객 게이트웨이 디바이스가 프라이빗 인증서를 제공합니다. 다만, 고객 게이트웨이 디바이스에는 세 개의 인증서가 모두 있어야 합니다. 고객 게이트웨이 디바이스에 세 인증서가 전부 있지 않은 경우, VPN 인증이 실패합니다.

관련 정보

AWS Site-to-Site VPN 고객 게이트웨이 디바이스

AWS Private Certificate Authority의 프라이빗 인증서