如何使用 AWS Site-to-Site VPN 创建基于证书的 VPN?

上次更新时间:2020 年 3 月 13 日

我想使用 AWS Site-to-Site VPN 构建基于证书的 IP 安全性 (IPSec) VPN。该如何操作?

简短描述

AWS Site-to-Site VPN 通过集成 AWS Certificate Manager 私有证书颁发机构,支持基于证书的身份验证。通过使用数字证书而不是预共享密钥进行 IKE 身份验证,您可以使用静态或动态客户网关 IP 地址构建 IPSec 隧道。

解决方法

任务 1:创建并安装根 CA 和从属 CA

任务 2 中创建的私有证书必须由您的从属 CA 颁发。从属 CA 必须位于 AWS Certificate Manager (ACM) 中。如果您的 CA 不在 ACM 中,则可以创建证书签名请求 (CSR) 并将已签名的从属 CA 导入 ACM

任务 2:创建私有证书以用作您的客户网关的身份证书
注意:您将在任务 5 中安装此证书。

任务 3:为您的 VPN 连接创建客户网关

  1. 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台
  2. 选择客户网关,然后选择创建客户网关
  3. 名称中,为您的客户网关指定名称。
  4. 路由中,为您的使用案例选择路由类型
  5. 如果您的客户网关的 IP 地址是动态的,请将 IP 地址字段留空。如果您的客户网关 IP 地址是静态的,可以将此字段留空,也可以指定 IP 地址。
  6. 证书 ARN 中,选择您在任务 2 中创建的证书 ARN。
  7. (可选)在设备中,指定设备名称。
  8. 选择创建客户网关

任务 4:使用虚拟私有网关配置 AWS Site-to-Site VPN 连接

任务 5:将最终实体证书(任务 2 中创建的私有证书)、根 CA 证书和从属 CA 证书复制到客户网关设备

注意:当 AWS VPN 终端节点请求进行身份验证时,客户网关会提供最终实体证书。客户网关设备必须提供所有证书(从属 CA 证书和根 CA 证书)。如果客户网关设备没有这些证书,当 AWS VPN 终端节点提供其自己的证书时,VPN 身份验证会失败。


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?