发布于: Mar 20, 2020
AWS Site-to-Site Virtual Private Network (AWS Site-to-Site VPN) 现在支持用于 Internet 密钥交换 (IKE) 身份验证的数字证书,以便 VPN 连接到 AWS Transit Gateway。这使您可以利用数字证书为所有 Site-to-Site VPN 连接提供的额外安全性和灵活性。
要将证书与 VPN 连接一起使用,您首先要从 AWS Certificate Manager 私有证书颁发机构创建从属证书颁发机构 (CA)。然后,从您创建的 CA 生成数字证书,以在客户网关设备上使用。使用证书进行身份验证时,无需为客户网关指定 IP 地址。因此无需重新配置 VPN 连接即可更新设备的 IP 地址。如果您使用具有证书的客户网关,则使用此网关创建的所有新 VPN 连接都将从同一从属 CA 创建其他证书,以便在 VPN 终端节点(隧道)上使用。您还可以修改现有 VPN 连接以使用新的客户网关。