我想要使用 AWS Site-to-Site VPN 建置憑證型 IP 安全性 (IPsec) VPN。
AWS Site-to-Site VPN 會支援透過與 AWS 私有憑證管理中心 (AWS Private CA) 整合的憑證型鑑別。使用數位憑證以建置具有靜態或動態客戶閘道 IP 地址的 IPsec 通道,而不是預先共用金鑰,以進行網際網路金鑰交換 (IKE) 鑑別。
**注意:**您無法針對 Site-to-Site VPN 使用外部的自我簽署憑證。如需憑證選項的詳細資訊,請參閱 AWS Site-to-Site VPN 通道驗證選項。
建立和安裝根 CA 憑證和從屬 CA 憑證。
如果您擁有現有的私有憑證,則 AWS Certificate Manager (ACM) 即可請求憑證,以作為客戶閘道裝置的身分憑證使用。如果您沒有現有的私有憑證,則請立即建立。
只有從屬 CA 可以核發私有憑證,而且從屬 CA 必須位於 AWS Certificate Manager (ACM) 中。如果您的從屬 CA 不在 ACM 中,即可建立憑證簽署請求 (CSR),並將已簽署的從屬 CA 匯入 ACM。
建立 VPN 連線的客戶閘道:
使用虛擬私有閘道設定 AWS Site-to-Site VPN 連線。
將私有憑證、根 CA 憑證和從屬 CA 憑證複製到客戶閘道裝置。
**注意事項:**AWS VPN 請求憑證進行鑑別時,客戶閘道裝置即會顯示私有憑證。但是,客戶閘道裝置的三項憑證必須全部擁有。如果客戶閘道裝置未擁有所有憑證,則 VPN 鑑別即會失敗。
AWS Site-to-Site VPN 客戶閘道裝置
AWS 私有憑證認證機構的私有憑證