如何使用 AWS Site-to-Site VPN 來建立憑證型 VPN?

1 分的閱讀內容
0

我想要使用 AWS Site-to-Site VPN 來建置憑證型的 IP 安全性 (IPsec) 虛擬私有網路 (VPN)。

簡短說明

AWS Site-to-Site VPN 會支援透過與 AWS 私有憑證管理中心 (AWS Private CA) 整合的憑證型鑑別。使用數位憑證以建置具有靜態或動態客戶閘道 IP 地址的 IPsec 通道,而不是預先共用金鑰,以進行網際網路金鑰交換 (IKE) 鑑別。

**注意事項:**您無法為 Site-to-Site VPN 使用外部的自簽憑證。如需憑證選項的詳細資訊,請參閱 Site-to-Site VPN 通道鑑別選項

解決方案

安裝根和從屬的私有 CA 憑證

建立和安裝根 CA 憑證和從屬 CA 憑證

請求或建立私有憑證

如果您擁有現有的私有憑證,則 AWS Certificate Manager (ACM) 即可請求憑證,以作為客戶閘道裝置的身分憑證使用。如果您沒有現有的私有憑證,則請立即建立

僅限從屬 CA 可以核發私有憑證,而且從屬 CA 必須位於 AWS Certificate Manager (ACM) 中。如果您的從屬 CA 不在 ACM 中,即可建立憑證簽署請求 (CSR),並將已簽署的從屬 CA 匯入 ACM

建立客戶閘道

建立 VPN 連線的客戶閘道:

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台
  2. 選擇「客戶閘道」。然後,選擇「建立客戶閘道」。
  3. 針對「名稱」,輸入客戶閘道的名稱。
  4. 針對「遞送」,為您的使用案例選取遞送類型
  5. 如果您的客戶閘道為動態的 IP 地址,請將「IP 地址」欄位保留空白。如果您的客戶閘道為靜態的 IP 地址,即可將此欄位保留空白,或者指定 IP 地址。
  6. 針對「憑證 ARN」,選擇私有憑證的憑證 ARN。
  7. (選用項目) 針對「裝置」,輸入裝置名稱。
  8. 選擇「建立客戶閘道」。

設定 Site-to-Site VPN

使用虛擬私有閘道設定 AWS Site-to-Site VPN 連線

將憑證複製到客戶閘道裝置

將私有憑證、根 CA 憑證和從屬 CA 憑證複製到客戶閘道裝置。

**注意事項:**AWS VPN 請求憑證進行鑑別時,客戶閘道裝置即會顯示私有憑證。但是,客戶閘道裝置的三項憑證必須全部擁有。如果客戶閘道裝置未擁有所有憑證,則 VPN 鑑別即會失敗。

相關資訊

客戶閘道裝置的要求

AWS 私有憑證管理中心的私有憑證