Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Como usar o AWS Site-to-Site VPN para criar uma VPN baseada em certificado?
Quero usar o AWS Site-to-Site VPN para autenticação de VPN baseada em certificados de segurança de protocolo de internet (IPsec). Quero que isso substitua o uso de uma chave pré-compartilhada para autenticação do Internet Key Exchange (IKE).
Breve descrição
Site-to-Site VPN oferece suporte à autenticação baseada em certificados por meio da integração com a AWS Private Certificate Authority (AWS Private CA). É possível usar certificados digitais para criar túneis IPsec com endereços IP estáticos ou dinâmicos do gateway do cliente.
Observação: não é possível usar um certificado externo autoassinado para o Site-to-Site VPN. Para obter mais informações sobre as opções de certificado, consulte Opções de autenticação de túnel do AWS Site-to-Site VPN.
Resolução
Para criar uma conexão VPN baseada em certificado com a Site-to-Site VPN, conclua as etapas a seguir.
Crie e instale um certificado CA privado raiz e subordinado
Crie uma autoridade de certificação (CA) raiz e uma CA subordinada na CA privada da AWS. Somente CAs subordinadas hospedadas no AWS Certificate Manager (ACM) podem emitir certificados privados para o AWS Site-to-Site VPN.
Para obter mais informações sobre a criação de uma CA privada, consulte Criar uma CA privada na CA privada da AWS.
Observação: se você preferir usar uma CA externa, crie somente a CA subordinada na CA privada da AWS. Instale um certificado de CA subordinado assinado por uma CA externa principal.
Solicitar ou criar um certificado privado
Use o AWS Certificate Manager (ACM) para solicitar um certificado privado para o dispositivo de gateway do cliente que está usando a CA subordinada.
Crie um gateway do cliente
Criar um gateway do cliente para sua conexão VPN:
- Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
- Escolha Gateways do cliente. Em seguida, escolha Criar gateway do cliente.
- Em Nome, insira um nome para o gateway do cliente.
- Em Roteamento, selecione o tipo de roteamento para seu caso de uso.
- Para endereço IP, faça o seguinte:
Mantenha o campo vazio se o endereço IP for dinâmico.
Mantenha o campo vazio ou especifique o endereço IP se for estático - Para Certificado ARN, escolha o ARN do certificado para seu certificado privado.
- (Opcional) Em Dispositivo, insira o nome do dispositivo.
- Escolha Criar gateway do cliente.
Configurar a Site-to-Site VPN
Configure a conexão Site-to-Site VPN e associe-a a um gateway privado virtual ou gateway de trânsito, dependendo da arquitetura da sua rede. Para obter mais informações, consulte Criar um gateway de destino.
Copiar certificados para o dispositivo de gateway do cliente
Exporte os seguintes certificados do ACM e, em seguida, importe-os para o dispositivo de gateway do cliente:
- Certificado privado
- Certificado CA subordinado
- Certificado CA raiz
Observação: quando a VPN da AWS solicita um certificado para autenticação, o dispositivo de gateway do cliente apresenta o certificado privado. No entanto, o dispositivo de gateway do cliente deve ter todos os três certificados disponíveis. Se algum certificado estiver ausente, a autenticação VPN falhará.
Informações relacionadas
- Idioma
- Português
Conteúdo relevante
- feita há 10 meses
- feita há um ano
