If you're experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.
如何使用 AWS Site-to-Site VPN 创建基于证书的 VPN?
我想使用 AWS Site-to-Site VPN 进行基于证书的互联网协议安全 (IPsec) VPN 身份验证。我想用此方式替代使用预共享密钥进行的互联网密钥交换 (IKE) 身份验证。
简短描述
Site-to-Site VPN 通过与 AWS Private Certificate Authority (AWS Private CA) 集成,支持基于证书的身份验证。您可以使用数字证书构建具有静态或动态客户网关 IP 地址的 IPsec 隧道。
**注意:**您不能将外部自签名证书用于 Site-to-Site VPN。有关证书选项的详细信息,请参阅 Site-to-Site VPN 隧道身份验证选项。
解决方法
要使用 Site-to-Site VPN 创建基于证书的 VPN 连接,请完成以下步骤。
创建并安装根和从属私有 CA 证书
在 AWS Private CA 中创建根证书颁发机构 (CA) 和从属 CA。只有托管在 AWS Certificate Manager (ACM) 中的从属 CA 才可以为 AWS Site-to-Site VPN 颁发私有证书。
有关创建私有 CA 的详细信息,请参阅在 AWS Private CA 中创建私有 CA。
注意: 如果您更喜欢使用外部 CA,请仅在 AWS Private CA 中创建从属 CA。安装由外部父 CA 签名的从属 CA 证书。
请求或创建私有证书
使用 AWS Certificate Manager (ACM) 为使用从属 CA 的客户网关设备申请私有证书。
创建客户网关
为您的 VPN 连接创建客户网关:
- 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台。
- 选择 Customer Gateways(客户网关)。然后,选择创建客户网关。
- 对于名称,输入您的客户网关的名称。
- 对于 Routing(路由),为您的用例选择 routing type(路由类型)。
- 对于 IP address(IP 地址),执行以下操作之一:
如果 IP 地址是动态的,请将该字段留空。
如果是静态的,请将该字段留空或指定 IP 地址 - 对于 Certificate ARN(证书 ARN),为您的私有证书选择证书 ARN。
- (可选)对于设备,输入设备名称。
- 选择 Create Customer Gateway(创建客户网关)。
配置 Site-to-Site VPN
配置 Site-to-Site VPN 连接并将其与虚拟私有网关或中转网关关联,具体取决于您的网络架构。有关详细信息,请参阅创建目标网关。
将证书复制到客户网关设备
从 ACM 导出以下证书,然后将其导入到客户网关设备:
- 私有证书
- 从属 CA 证书
- 根 CA 证书
**注意:**当 AWS VPN 请求证书进行身份验证时,客户网关设备会提供私有证书。但是,客户网关设备必须具备所有三个证书。如果缺少任何证书,则 VPN 身份验证将失败。
相关信息
- 语言
- 中文 (简体)
