AWS Site-to-Site VPN を使用して証明書ベースの VPN を作成するにはどうすればよいですか?

最終更新日: 2020 年 3 月 13 日

AWS Site-to-Site VPN を使用して証明書ベースの IP セキュリティ (IPSec) VPN を構築したいと考えています。どのように構築すればよいですか?

簡単な説明

AWS Site-to-Site VPN は、AWS Certificate Manager プライベート認証機関と統合することによって証明書ベースの認証をサポートします。IKE 認証のために事前に共有されたキーではなくデジタル証明書を使用することによって、静的または動的なカスタマーゲートウェイ IP アドレスで IPSec トンネルを構築できます。

解決方法

タスク 1: ルート CA と下位 CA を作成してインストールする

タスク 2 で作成するプライベート証明書は、下位 CA によって発行される必要があります。下位 CA は AWS Certificate Manager (ACM) に置く必要があります。CA が ACM にない場合は、証明書署名要求 (CSR) を作成して、署名済みの下位 CA を ACM にインポートできます。

タスク 2: カスタマーゲートウェイのアイデンティティー証明書として使用するためのプライベート証明書を作成する
注意: この証明書はタスク 5 でインストールします。

タスク 3: VPN 接続用のカスタマーゲートウェイを作成する

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
  2. [カスタマーゲートウェイ]、[カスタマーゲートウェイの作成] と選択します。
  3. [名前] にはカスタマーゲートウェイの名前を指定します。
  4. [ルーティング] にはユースケースのルーティングタイプを選択します。
  5. カスタマーゲートウェイの IP アドレスが動的である場合は、[IP アドレス] フィールドを空のままにしておきます。カスタマーゲートウェイの IP アドレスが静的である場合は、このフィールドを空のままにする、または IP アドレスを指定できます。
  6. [Certificate ARN] にはタスク 2 で作成した証明書 ARN を選択します。
  7. (オプション) [Device] にデバイス名を指定します。
  8. [カスタマーゲートウェイの作成] を選択します。

タスク 4: 仮想プライベートゲートウェイで AWS Site-to-Site VPN 接続を設定する

タスク 5: エンドエンティティ証明書 (タスク 2 で作成したプライベート証明書)、ルート CA 証明書、および下位 CA 証明書をカスタマーゲートウェイデバイスにコピーする

注意: カスタマーゲートウェイは、認証のために AWS VPN エンドポイントからリクエストされた場合にエンドエンティティ証明書を提示します。カスタマーゲートウェイデバイスには、すべての証明書(下位 CA 証明書とルート CA 証明書)が存在している必要があります。カスタマーゲートウェイデバイスにこれらの証明書がない場合、AWS VPN エンドポイントが独自の証明書を提示するときに VPN 認証が失敗します。


この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合