Comment créer un VPN basé sur un certificat à l'aide d'AWS Site-to-Site VPN ?

Date de la dernière mise à jour : 13/03/2020

Je souhaite créer un VPN de sécurité IP basé sur un certificat (IPSec) à l'aide d'AWS Site-to-Site VPN. Comment dois-je procéder ?

Brève description

AWS Site-to-Site VPN prend en charge l'authentification par certificat en s'intégrant à l' autorité de certification privée AWS Certificate Manager. Si vous utilisez des certificats numériques au lieu de clés pré-partagées pour l'authentification IKE, vous pouvez créer des tunnels IPSec avec des adresses IP de passerelle client statiques ou dynamiques.

Solution

Tâche 1 : créez et installez une autorité de certification (CA) racine et une autorité de certification subordonnée

Le certificat privé que vous allez créer dans la tâche 2 doit être émis par l'autorité de certification subordonnée. L'autorité de certification subordonnée doit se trouver dans AWS Certificate Manager (ACM). Si votre autorité de certification n'est pas dans ACM, vous pouvez créer une demande de signature de certificat (CSR) et importer l'autorité de certification subordonnée signée dans ACM.

Tâche 2 : créez un certificat privé à utiliser comme certificat d'identité pour votre passerelle client.
Remarque : vous installerez ce certificat lors de la tâche 5.

Tâche 3 : créez une passerelle client pour votre connexion VPN

  1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Choisissez Customer Gateways (Passerelles client), puis Create Customer Gateway (Créer une passerelle client).
  3. Dans le champ Name (Nom), spécifiez le nom de la passerelle client.
  4. Dans le champ Routing ( (Routage), sélectionnez le type de routage correspondant à votre cas d'utilisation.
  5. Laissez le champ IP Address (Adresse IP) vide si l'adresse IP de votre passerelle client est dynamique. Si l'adresse IP de votre passerelle client est statique, vous pouvez laisser ce champ vide spécifier l'adresse IP.
  6. Pour Certificate ARN (ARN du certificat), choisissez l'ARN de certificat que vous avez créé dans la tâche 2.
  7. (Facultatif) Dans le champ Device (Appareil), spécifiez le nom de l'appareil.
  8. Choisissez Create Customer Gateway (Créer une passerelle client).

Tâche 4 : configurez la connexion AWS Site-to-Site VPN avec une passerelle réseau privé virtuel

Tâche 5 : copiez le certificat de l'entité finale (le certificat privé que vous avez créé dans la tâche 2), le certificat de l'autorité de certification racine et le certificat de l'autorité de certification subordonnée vers l'appareil de passerelle client.

Remarque : la passerelle client présente le certificat de l'entité finale lorsqu'il est demandé par le point de terminaison VPN AWS à des fins d'authentification. Le périphérique de passerelle client doit disposer de tous les certificats présents (certificat de l'autorité de certification subordonnée et certificat de l'autorité de certification racine). Si l'appareil de passerelle client ne dispose pas de ces certificats, l'authentification VPN échoue lorsque le point de terminaison de VPN AWS présente son propre certificat.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?