Comment créer un VPN basé sur un certificat à l'aide d'un VPN de site à site AWS ?

Date de la dernière mise à jour : 13/03/2020

Je souhaite créer un VPN de sécurité IP basé sur un certificat (IPSec) à l'aide d'un VPN de site à site AWS. Comment dois-je procéder ?

Brève description

Le VPN de site à site AWS prend en charge l'authentification basée sur les certificats en s'intégrant à l'autorité de certification privée AWS Certificate Manager. Si vous utilisez des certificats numériques au lieu de clés pré-partagées pour l'authentification IKE, vous pouvez créer des tunnels IPSec avec des adresses IP de passerelle client statiques ou dynamiques.

Résolution

Tâche 1 : créer et installer une autorité de certification racine et une autorité de certification subordonnée

Le certificat privé que vous allez créer lors de la tâche 2 doit être émis par l'autorité de certification subordonnée. L'autorité de certification subordonnée doit se trouver dans AWS Certificate Manager (ACM). Si votre autorité de certification n'est pas dans ACM, vous pouvez créer une demande de signature de certificat (CSR) et importer l'autorité de certification subordonnée signée dans ACM.

Tâche 2 : créer un certificat privé à utiliser comme certificat d'identité pour votre passerelle client
Remarque : vous installerez ce certificat lors de la tâche 5.

Tâche 3 : créer une passerelle client pour votre connexion VPN

  1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).
  2. Sélectionnez Customer Gateways (Passerelles client), puis Create Customer Gateway (Créer une passerelle client).
  3. Dans le champ Name (Nom), spécifiez un nom pour votre passerelle client.
  4. Dans le champ Routing (Routage), sélectionnez le type de routage correspondant à votre cas d'utilisation.
  5. Laissez le champ IP Address (Adresse IP) vide si l'adresse IP de votre passerelle client est dynamique. Si l'adresse IP de votre passerelle client est statique, vous pouvez laisser ce champ vide, ou vous pouvez spécifier l'adresse IP.
  6. Pour Certificate ARN (ARN du certificat), choisissez l'ARN du certificat que vous avez créé lors de la tâche 2.
  7. (Facultatif) Dans le champ Device (Périphérique), spécifiez le nom du périphérique.
  8. Sélectionnez Create Customer Gateway (Créer une passerelle client).

Tâche 4 : configurer la connexion VPN site à site AWS avec une passerelle réseau privé virtuel

Tâche 5 : copier le certificat de l'entité finale (le certificat privé que vous avez créé lors de la tâche 2), le certificat de l'autorité de certification racine et le certificat de l'autorité de certification subordonnée sur le périphérique de passerelle client

Remarque : la passerelle client présente le certificat de l'entité finale lorsqu'il est demandé par le point de terminaison VPN AWS à des fins d'authentification. Le périphérique de passerelle client doit disposer de tous les certificats présents (certificat de l'autorité de certification subordonnée et certificat de l'autorité de certification racine). Si le périphérique de passerelle client ne dispose pas de ces certificats, l'authentification VPN échoue lorsque le point de terminaison VPN AWS présente son propre certificat.


Cette page vous a-t-elle été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?