AWS Site-to-Site VPN을 사용하여 인증서 기반 IP 보안(IPsec) VPN을 구축하려고 합니다.
간략한 설명
AWS Site-to-Site VPN은 AWS Private Certificate Authority(AWS Private CA)과의 통합을 통해서 인증서 기반 인증을 지원합니다. 디지털 인증서를 사용하여 Internet Key Exchange(IKE) 인증을 위해 사전 공유 키 대신 고정 또는 동적 고객 게이트웨이 IP 주소로 IPsec 터널을 구축합니다.
참고: Site-to-Site VPN에 외부 자체 서명 인증서를 사용할 수 없습니다. 인증서 옵션에 대한 자세한 내용은 AWS Site-to-Site VPN 터널 인증 옵션을 참조하십시오.
해결 방법
루트 및 하위 프라이빗 CA 인증서 설치
루트 CA 인증서 및 하위 CA 인증서를 생성하고 설치합니다.
프라이빗 인증서 요청 혹은 생성
기존 프라이빗 인증서가 존재하는 경우, AWS Certificate Manager(ACM)가 고객 게이트웨이 디바이스의 ID 인증서로 사용할 인증서를 요청할 수 있습니다. 기존 프라이빗 인증서가 없는 경우, 프라이빗 인증서를 생성합니다.
하위 CA만 프라이빗 인증서를 발급할 수 있으며, 하위 CA는 AWS Certificate Manager(ACM) 상에 존재해야 합니다. 하위 CA가 ACM에 존재하지 않는 경우, 인증서 서명 요청(CSR)을 생성하고 서명된 하위 CA를 ACM으로 가져올 수 있습니다.
고객 게이트웨이 생성
VPN 연결을 위한 고객 게이트웨이를 생성합니다.
- Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.
- 고객 게이트웨이를 선택합니다. 그 뒤, 고객 게이트웨이 생성을 선택합니다.
- 이름에 고객 게이트웨이의 이름을 입력합니다.
- 라우팅에 사용 사례에 적합한 라우팅 유형을 선택합니다.
- 고객 게이트웨이 IP 주소가 동적인 경우, IP 주소 필드를 빈 채로 둡니다. 고객 게이트웨이 IP 주소가 정적인 경우, 필드를 비워 두거나 IP 주소를 지정할 수 있습니다.
- 인증서 ARN에 프라이빗 인증서의 인증서 ARN을 선택합니다.
- (선택 사항) 디바이스에 디바이스 이름을 입력합니다.
- 고객 게이트웨이 생성을 선택합니다.
Site-to-Site VPN 구성
가상 프라이빗 게이트웨이를 사용하여 AWS Site-to-Site VPN 연결을 구성합니다.
인증서를 고객의 게이트웨이 디바이스에 복사
프라이빗 인증서, 루트 CA 인증서 및 하위 CA 인증서를 고객의 게이트웨이 디바이스에 복사합니다.
참고: AWS VPN이 인증을 위한 인증서를 요청하는 경우, 고객 게이트웨이 디바이스가 프라이빗 인증서를 제공합니다. 다만, 고객 게이트웨이 디바이스에는 세 개의 인증서가 모두 있어야 합니다. 고객 게이트웨이 디바이스에 세 인증서가 전부 있지 않은 경우, VPN 인증이 실패합니다.
관련 정보
AWS Site-to-Site VPN 고객 게이트웨이 디바이스
AWS Private Certificate Authority의 프라이빗 인증서