AWS Site-to-Site VPN을 사용하여 인증서 기반 VPN을 생성하려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2020년 3월 13일
AWS Site-to-Site VPN을 사용하여 인증서 기반 IPSec(IP 보안) VPN을 구축하려고 합니다. 어떻게 해야 하나요?
간략한 설명
AWS Site-to-Site VPN은
AWS Certificate Manager Private Certificate Authority와 통합되어 인증서 기반 인증을 지원합니다. 사전 공유된 키 대신 디지털 인증서를 IKE 인증에 사용하면 정적 또는 동적 고객 게이트웨이 IP 주소로 IPSec 터널을 구축할 수 있습니다.
해결 방법
태스크 1: 루트 CA 및 하위 CA 생성 및 설치
태스크 2에서 생성할 사설 인증서는 하위 CA에서 발급해야 합니다. 하위 CA는 AWS Certificate Manager(ACM)에 있어야 합니다. CA가 ACM에 없는 경우 인증서 서명 요청(CSR)을 생성하고 서명된 하위 CA를 ACM으로 가져올 수 있습니다.
태스크 2: 고객 게이트웨이의 자격 증명 인증서로 사용할 사설 인증서 생성
참고: 이 인증서는 태스크 5를 진행하는 동안 설치합니다.
태스크 3: VPN 연결을 위한 고객 게이트웨이 생성
- Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.
- 고객 게이트웨이를 선택한 다음, 고객 게이트웨이 생성을 선택하십시오.
- 이름에 고객 게이트웨이 이름을 지정하십시오.
- 라우팅에 사용 사례에 적합한 라우팅 유형을 선택하십시오.
- 고객 게이트웨이 IP 주소가 동적 주소이면 IP 주소 필드를 비워 두십시오. 고객 게이트웨이 IP 주소가 정적 주소이면 이 필드를 비워 두거나 IP 주소를 지정할 수 있습니다.
- 인증서 ARN에 태스크 2에서 생성한 인증서 ARN을 선택하십시오.
- (선택 사항) 디바이스에 디바이스 이름을 지정하십시오.
- 고객 게이트웨이 생성을 선택하십시오.
태스크 4: 가상 프라이빗 게이트웨이를 사용하여 AWS Site-to-Site VPN 연결 구성
태스크 5: 최종 엔터티 인증서(태스크 2에서 생성한 사설 인증서), 루트 CA 인증서 및 하위 CA 인증서를 고객 게이트웨이 디바이스에 복사
참고: 고객 게이트웨이는 인증을 위해 AWS VPN 엔드포인트에서 요청할 경우 최종 엔터티 인증서를 제공합니다. 고객 게이트웨이 디바이스에 모든 인증서가 있어야 합니다(하위 CA 인증서 및 루트 CA 인증서). 고객 게이트웨이 디바이스에 이러한 인증서가 없는 경우 AWS VPN 엔드포인트가 자체 인증서를 제공하면 VPN 인증이 실패합니다.