AWS Site-to-Site VPN을 사용하여 인증서 기반 VPN을 생성하려면 어떻게 해야 합니까?

AWS Site-to-Site VPN은 AWS Certificate Manager Private Certificate Authority와 통합되어 인증서 기반 인증을 지원합니다. 사전 공유된 키 대신 디지털 인증서를 IKE 인증에 사용하면 정적 또는 동적 고객 게이트웨이 IP 주소로 IPSec 터널을 구축할 수 있습니다.

태스크 1: 루트 CA 및 하위 CA 생성 및 설치

태스크 2에서 생성할 사설 인증서는 하위 CA에서 발급해야 합니다. 하위 CA는 AWS Certificate Manager(ACM)에 있어야 합니다. CA가 ACM에 없는 경우 인증서 서명 요청(CSR)을 생성하고 서명된 하위 CA를 ACM으로 가져오면 됩니다.

태스크 2: 고객 게이트웨이의 자격 증명 인증서로 사용할 사설 인증서 생성
참고: 이 인증서는 태스크 5를 진행하는 동안 설치합니다.

태스크 3: VPN 연결을 위한 고객 게이트웨이 생성

1. Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 여십시오.
2. 고객 게이트웨이를 선택한 다음, 고객 게이트웨이 생성을 선택하십시오.
3. 이름에 고객 게이트웨이 이름을 지정하십시오.
4. 라우팅에 사용 사례에 적합한 라우팅 유형을 선택하십시오.
5. 고객 게이트웨이 IP 주소가 동적 주소이면 IP 주소 필드를 비워 두십시오. 고객 게이트웨이 IP 주소가 정적 주소이면 이 필드를 비워 두거나 IP 주소를 지정할 수 있습니다.
6. 인증서 ARN에 태스크 2에서 생성한 인증서 ARN을 선택하십시오.
7. (선택 사항) 디바이스에 디바이스 이름을 지정하십시오.
8. 고객 게이트웨이 생성을 선택하십시오.

태스크 4: 가상 프라이빗 게이트웨이를 사용하여 AWS Site-to-Site VPN 연결 구성

태스크 5: 최종 엔터티 인증서(태스크 2에서 생성한 사설 인증서), 루트 CA 인증서 및 하위 CA 인증서를 고객 게이트웨이 디바이스에 복사

참고: 고객 게이트웨이는 인증을 위해 AWS VPN 엔드포인트에서 요청할 경우 최종 엔터티 인증서를 제공합니다. 고객 게이트웨이 디바이스에 모든 인증서가 있어야 합니다(하위 CA 인증서 및 루트 CA 인증서). 고객 게이트웨이 디바이스에 이러한 인증서가 없는 경우 AWS VPN 엔드포인트가 자체 인증서를 제공하면 VPN 인증이 실패합니다.