Comment utiliser le VPN AWS Site-to-Site pour créer un VPN basé sur des certificats ?
Je souhaite utiliser le VPN AWS Site-to-Site pour créer un réseau privé virtuel (VPN) de sécurité IP basé sur des certificats (IPSec).
Brève description
Le VPN AWS Site-to-Site prend en charge l'authentification basée sur des certificats grâce à l'intégration avec AWS Private Certificate Authority (AWS Private CA). Utilisez des certificats numériques pour créer des tunnels IPsec avec des adresses IP de passerelle client statiques ou dynamiques au lieu de clés pré-partagées pour l'authentification IKE (Internet Key Exchange).
Remarque : Vous ne pouvez pas utiliser de certificat externe auto-signé pour le VPN de site à site. Pour plus d'informations sur les options de certificat, consultez la section Options d'authentification du tunnel VPN de site à site.
Résolution
Installation d'un certificat d'autorité de certification privée racine et subordonnée
Créer et installer un certificat d'autorité de certification privée racine et subordonnée.
Demander ou créer un certificat privé
Si vous possédez déjà un certificat privé, AWS Certificate Manager (ACM) peut demander que le certificat soit utilisé comme certificat d'identité pour votre dispositif de passerelle client. Si vous n'avez pas de certificat privé existant, créez-en un.
Seule l'autorité de certification subordonnée peut émettre le certificat privé, et l'autorité de certification subordonnée doit se trouver dans AWS Certificate Manager (ACM). Si votre autorité de certification subordonnée ne figure pas dans ACM, vous pouvez créer une demande de signature de certificat (CSR) et importer l'autorité de certification subordonnée signée dans ACM.
Créer une passerelle client
Créez une passerelle client pour votre connexion VPN :
- Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
- Choisissez Passerelles client. Choisissez ensuite Créer une passerelle client.
- Dans ** Nom**, entrez le nom de votre passerelle client.
- Pour le Routage, sélectionnez le Type de routage adapté à votre cas d'utilisation.
- Si l'adresse IP de votre passerelle client est dynamique, laissez le champ Adresse IP vide. Si l'adresse IP de votre passerelle client est statique, vous pouvez choisir de laisser ce champ vide ou de spécifier l'adresse IP.
- Pour l'ARN du certificat, choisissez l'ARN du certificat pour votre certificat privé.
- (Facultatif) Pour ** Appareil**, entrez un nom d'appareil.
- Choisissez Créer une passerelle client.
Configurer le VPN de site à site
Configurez la connexion VPN AWS Site-to-Site avec une passerelle privée virtuelle.
Copier les certificats sur le dispositif de passerelle client
Copiez le certificat privé, le certificat de l'autorité de certification racine et le certificat de l'autorité de certification subordonnée sur le dispositif de passerelle client.
Remarque : Lorsque le VPN AWS demande un certificat d'authentification, le dispositif de passerelle client présente le certificat privé. Cependant, les trois certificats doivent être présents sur le dispositif de passerelle client. Si le dispositif de passerelle client ne possède pas tous les certificats, l'authentification VPN est voué à l'échec.
Informations connexes
Contenus pertinents
- demandé il y a 8 mois
- demandé il y a 10 mois
- demandé il y a un an
- demandé il y a 3 mois
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a un an