AWS Site-to-Site VPN 现在支持证书身份验证，以便连接到 AWS Transit Gateway

AWS Site-to-Site Virtual Private Network (AWS Site-to-Site VPN) 现在支持用于 Internet 密钥交换 (IKE) 身份验证的数字证书，以便 VPN 连接到 AWS Transit Gateway。这使您可以利用数字证书为所有 Site-to-Site VPN 连接提供的额外安全性和灵活性。 

要将证书与 VPN 连接一起使用，您首先要从 AWS Certificate Manager 私有证书颁发机构创建从属证书颁发机构 (CA)。然后，从您创建的 CA 生成数字证书，以在客户网关设备上使用。使用证书进行身份验证时，无需为客户网关指定 IP 地址。因此无需重新配置 VPN 连接即可更新设备的 IP 地址。如果您使用具有证书的客户网关，则使用此网关创建的所有新 VPN 连接都将从同一从属 CA 创建其他证书，以便在 VPN 终端节点（隧道）上使用。您还可以修改现有 VPN 连接以使用新的客户网关。 

AWS Site-to-Site VPN 证书身份验证已在以下 AWS 区域推出：美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）、美国西部（加利福尼亚北部）、欧洲（爱尔兰）、欧洲（法兰克福）、欧洲（伦敦）、欧洲（巴黎）、亚太地区（新加坡）、亚太地区（香港）、亚太地区（东京）、亚太地区（悉尼）、亚太地区（首尔）、亚太地区（孟买）和加拿大（中部）。 有关 AWS Site-to-Site VPN 的更多信息，请参阅产品页面和文档。有关 AWS Certificate Manager 的详细信息和定价，请参阅产品页面。