Come posso utilizzare VPN sito-sito AWS per creare una VPN basata su certificati?

3 minuti di lettura

Desidero utilizzare VPN sito-sito AWS per creare una rete privata virtuale (VPN) di sicurezza IP (IPsec) basata su certificati.

Breve descrizione

VPN sito-sito AWS supporta l'autenticazione basata su certificati tramite l'integrazione con l’Autorità di certificazione privata AWS (AWS Private CA). Utilizza certificati digitali per creare tunnel IPSec con indirizzi IP gateway del cliente statici o dinamici, anziché chiavi precondivise per l'autenticazione Internet Key Exchange (IKE).

**Nota:**Non puoi utilizzare un certificato autofirmato esterno per la VPN sito-sito. Per ulteriori informazioni sulle opzioni di certificato, consulta Opzioni di autenticazione del tunnel VPN sito-sito.

Risoluzione

Installare un certificato CA privato root e subordinato

Crea e installa un certificato CA root e un certificato CA subordinato.

Richiedere o creare un certificato privato

Se disponi di un certificato privato esistente, la Gestione certificati AWS (ACM) può richiedere il certificato da utilizzare come certificato di identità per il dispositivo gateway del cliente. Se non disponi di un certificato privato esistente, creane uno.

Solo la CA subordinata può emettere il certificato privato e la CA subordinata deve essere in Gestione certificati AWS (ACM). Se la CA subordinata non è in ACM, puoi creare una richiesta di firma del certificato (CSR) e importare la CA subordinata firmata in ACM.

Crea un gateway del cliente

Creare un gateway del cliente per la tua connessione VPN:

Apri la console Amazon Virtual Private Cloud (Amazon VPC).
Scegli Gateway del cliente. Quindi, scegli Crea gateway del cliente.
In Nome, inserisci un nome per il gateway del cliente.
Per Routing, seleziona il tipo di routing più adatto al tuo caso d'uso.
Se l'indirizzo IP del gateway del cliente è dinamico, lascia vuoto il campo Indirizzo IP. Se l'indirizzo IP del gateway del cliente è statico, puoi scegliere di lasciare vuoto questo campo oppure specificare l'indirizzo IP.
Per Certificato ARN, scegli il certificato ARN per il tuo certificato privato.
(Facoltativo) Per Dispositivo, inserisci un nome di dispositivo.
Scegli Crea gateway del cliente.

Configura la VPN sito-sito

Configura la connessione VPN sito-sito AWS con un gateway privato virtuale.

Copia i certificati sul dispositivo gateway del cliente

Copia il certificato privato, il certificato CA root e il certificato CA subordinato sul dispositivo gateway del cliente.

Nota: Quando la VPN AWS richiede un certificato per l'autenticazione, il dispositivo gateway del cliente presenta il certificato privato. Tuttavia, il dispositivo gateway del cliente deve avere tutti e tre i certificati presenti. Se il dispositivo gateway del cliente non dispone di tutti i certificati, l'autenticazione VPN fallisce.

Informazioni correlate

Requisiti per il dispositivo gateway del cliente

Certificato privato rilasciato dall’Autorità di certificazione privata AWS

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)AWS Client VPN

Lingua

Italiano

Video correlati

Guarda il video di Aditya per saperne di più (8:21)

AWS UFFICIALEAggiornata 9 mesi fa

Contenuto pertinente

Come posso creare un endpoint VPN Client utilizzando l'autenticazione basata su certificati?
AWS UFFICIALEAggiornata 2 anni fa
Come posso creare e connettermi a un endpoint VPN Client utilizzando certificati privati per l'autenticazione reciproca con la Gestione certificati AWS (ACM)?
AWS UFFICIALEAggiornata 2 anni fa
Come faccio a creare una VPN basata sul routing dinamico utilizzando un firewall Palo-Alto e AWS VPN?
AWS UFFICIALEAggiornata un anno fa
Come posso risolvere i problemi di connessione tra un endpoint VPN AWS e una VPN basata su policy?
AWS UFFICIALEAggiornata un anno fa