AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成するにはどうすればよいですか?

最終更新日: 2020 年 3 月 13 日

AWS Site-to-Site VPN は、 AWS Certificate Manager プライベート認証機関と統合することによって証明書ベースの認証をサポートします。IKE 認証のために事前に共有されたキーではなくデジタル証明書を使用することによって、静的または動的なカスタマーゲートウェイ IP アドレスで IPSec トンネルを構築できます。

タスク 1: ルート CA と下位 CA を作成してインストールする

タスク 2 で作成するプライベート証明書は、下位 CA によって発行される必要があります。下位 CA は AWS Certificate Manager (ACM) に置く必要があります。CA が ACM にない場合は、証明書署名要求 (CSR) を作成して、署名済みの下位 CA を ACM にインポートできます。

タスク 2: カスタマーゲートウェイの ID 証明書として使用するためのプライベート証明書を作成する
注: この証明書はタスク 5 でインストールします。

タスク 3: VPN 接続用のカスタマーゲートウェイを作成する

1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
2. [Customer Gateways] (カスタマーゲートウェイ)、[Create Customer Gateway] (カスタマーゲートウェイの作成) の順に選択します。
3. [Name] (名前) で、カスタマーゲートウェイの名前を指定します。
4. [Routing] (ルーティング) で、ユースケースのルーティングタイプを選択します。
5. カスタマーゲートウェイの IP アドレスが動的である場合は、[IP Address] (IP アドレス) フィールドを空のままにしておきます。カスタマーゲートウェイの IP アドレスが静的である場合は、このフィールドを空のままにするか、または IP アドレスを指定できます。
6. [Certificate ARN] (証明書 ARN) で、タスク 2 で作成した証明書 ARN を選択します。
7. (オプション) [Device] (デバイス) で、デバイス名を指定します。
8. [Create Customer Gateway] (カスタマーゲートウェイの作成) を選択します。

タスク 4: 仮想プライベートゲートウェイで AWS Site-to-Site VPN 接続を設定する

タスク 5: エンドエンティティ証明書 (タスク 2 で作成したプライベート証明書)、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーする

注意: カスタマーゲートウェイは、認証のために AWS VPN エンドポイントからリクエストされた場合にエンドエンティティ証明書を提示します。カスタマーゲートウェイデバイスには、すべての証明書（下位 CA 証明書とルート CA 証明書）が存在している必要があります。カスタマーゲートウェイデバイスにこれらの証明書がない場合、AWS VPN エンドポイントが独自の証明書を提示するときに VPN 認証が失敗します。