AWS 站点到站点 VPN 现在支持证书身份验证

AWS 站点到站点虚拟私有网络（AWS 站点到站点 VPN）现在支持用于 Internet 密钥交换 (IKE) 身份验证的数字证书，因此对于 AWS 站点到站点 VPN 连接，您现在可以使用来自 AWS Certificate Manager 的私有证书而不是预共享密钥。这使您可以利用数字证书提供的额外安全性和灵活性。

要将证书与 VPN 连接一起使用，您需要首先从 AWS Certificate Manager 私有证书颁发机构创建从属证书颁发机构 (CA)。从您创建的 CA 生成数字证书，以在客户网关设备上使用。使用证书进行身份验证时，无需为客户网关指定 IP 地址，因此无需重新配置 VPN 连接即可更新设备的 IP 地址。如果您使用具有证书的客户网关，则使用此网关创建的所有新 VPN 连接都将从同一从属 CA 创建其他证书，以便在 VPN 终端节点（隧道）上使用。您还可以修改现有 VPN 连接以使用新的客户网关。

AWS 站点到站点 VPN 证书身份验证现已在以下 AWS 区域推出：美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）、美国西部（加利福尼亚北部）、欧洲（爱尔兰）、欧洲（法兰克福）、欧洲（伦敦）、欧洲（巴黎）、亚太地区（新加坡）、亚太地区（香港）、亚太地区（东京）、亚太地区（悉尼）、亚太地区（首尔）、亚太地区（孟买）、加拿大（中部）和两个 AWS GovCloud（美国）区域。有关 AWS 站点到站点 VPN 的更多信息，请参阅产品页面和文档。有关 AWS Certificate Manager 的详细信息和定价，请参阅产品页面。