如何使用 AWS Site-to-Site VPN 创建基于证书的 VPN？

AWS Site-to-Site VPN 通过集成 AWS Certificate Manager 私有证书颁发机构，支持基于证书的身份验证。通过使用数字证书而不是预共享密钥进行 IKE 身份验证，您可以使用静态或动态客户网关 IP 地址构建 IPSec 隧道。

任务 1：创建并安装根 CA 和从属 CA

任务 2 中创建的私有证书必须由您的从属 CA 颁发。从属 CA 必须位于 AWS Certificate Manager (ACM) 中。如果您的 CA 不在 ACM 中，则可以创建证书签名请求 (CSR) 并将已签名的从属 CA 导入 ACM。

任务 2：创建私有证书以用作您的客户网关的身份证书
注意：您将在任务 5 中安装此证书。

任务 3：为您的 VPN 连接创建客户网关

1. 打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台。
2. 选择客户网关，然后选择创建客户网关。
3. 在名称中，为您的客户网关指定名称。
4. 在路由中，为您的使用案例选择路由类型。
5. 如果您的客户网关的 IP 地址是动态的，请将 IP 地址字段留空。如果您的客户网关 IP 地址是静态的，可以将此字段留空，也可以指定 IP 地址。
6. 在证书 ARN 中，选择您在任务 2 中创建的证书 ARN。
7. （可选）在设备中，指定设备名称。
8. 选择创建客户网关。

任务 4：使用虚拟私有网关配置 AWS Site-to-Site VPN 连接

任务 5：将最终实体证书（任务 2 中创建的私有证书）、根 CA 证书和从属 CA 证书复制到客户网关设备

注意：当 AWS VPN 终端节点请求进行身份验证时，客户网关会提供最终实体证书。客户网关设备必须提供所有证书（从属 CA 证书和根 CA 证书）。如果客户网关设备没有这些证书，当 AWS VPN 终端节点提供其自己的证书时，VPN 身份验证会失败。