AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung - AWS Site-to-Site VPN
Pre-Shared-KeyPrivates Zertifikat von AWS Private Certificate Authority

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung

Sie können vorinstallierte Schlüssel oder Zertifikate verwenden, um Ihre Site-to-Site VPN-Tunnel-Endpunkte zu authentifizieren.

Pre-Shared-Key

Ein Pre-Shared Key (PSK) ist die Standardauthentifizierungsoption für VPN-Tunnel. Site-to-Site Wenn Sie einen Tunnel erstellen, können Sie entweder Ihren eigenen PSK angeben oder zulassen AWS , dass einer automatisch für Sie generiert wird. Das PSK wird mit einer der folgenden Methoden gespeichert:

Die PSK-Zeichenfolge wird dann bei der Konfiguration Ihres Kunden-Gateway-Geräts verwendet.

Privates Zertifikat von AWS Private Certificate Authority

Wenn Sie keine Pre-Shared-Key verwenden möchten, können Sie ein privates Zertifikat von AWS Private Certificate Authority zur Authentifizierung Ihres VPNs verwenden.

Sie müssen mit AWS Private Certificate Authority (AWS Private CA) ein privates Zertifikat von einer untergeordneten CA erstellen. Um die dem ACM untergeordnete CA zu signieren, können Sie eine ACM Stamm-CA oder eine externe CA verwenden. Für Informationen zum Erstellen eines privaten Zertifikats siehe Erstellen und Verwalten einer privaten CA im AWS Private Certificate Authority -Benutzerhandbuch.

Sie müssen eine dienstbezogene Rolle erstellen, um das Zertifikat für die AWS Seite des Site-to-Site VPN-Tunnelendpunkts zu generieren und zu verwenden. Weitere Informationen finden Sie unter Dienstbezogene Rollen für VPN Site-to-Site.

Anmerkung

Um reibungslose Zertifizierungsrotationen zu ermöglichen, reicht jedes Zertifikat mit derselben Zertifizierungsstellenkette wie das ursprünglich im CreateCustomerGateway API-Aufruf angegebene Zertifikat aus, um eine VPN-Verbindung herzustellen.

Wenn Sie die IP-Adresse Ihres Kunden-Gateway-Geräts nicht angeben, überprüfen wir die IP-Adresse nicht. Dieser Vorgang ermöglicht es Ihnen, das Kunden-Gateway-Gerät auf eine andere IP-Adresse zu verlegen, ohne die VPN-Verbindung neu konfigurieren zu müssen.

Site-to-Site VPN führt eine Überprüfung der Zertifikatskette für das Kunden-Gateway-Zertifikat durch, wenn Sie ein VPN-Zertifikat erstellen. Zusätzlich zu den grundlegenden CA- und Gültigkeitsprüfungen prüft Site-to-Site VPN, ob die X.509-Erweiterungen vorhanden sind, einschließlich Authority Key Identifier, Subject Key Identifier und Basic Constraints.