Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS Site-to-Site VPN Optionen für die Tunnelauthentifizierung
Sie können vorinstallierte Schlüssel oder Zertifikate verwenden, um Ihre Site-to-Site VPN-Tunnel-Endpunkte zu authentifizieren.
Pre-Shared-Key
Ein Pre-Shared Key (PSK) ist die Standardauthentifizierungsoption für VPN-Tunnel. Site-to-Site Wenn Sie einen Tunnel erstellen, können Sie entweder Ihren eigenen PSK angeben oder zulassen AWS , dass einer automatisch für Sie generiert wird. Das PSK wird mit einer der folgenden Methoden gespeichert:
-
Direkt im Site-to-Site VPN-Dienst. Weitere Informationen finden Sie unter AWS Site-to-Site VPN Kunden-Gateway-Geräte.
-
Auf der AWS Secrets Manager Suche nach verbesserter Sicherheit. Weitere Informationen zur Verwendung von Secrets Manager zum Speichern eines PSK finden Sie unterVerbesserte Sicherheitsfunktionen mit Secrets Manager.
Die PSK-Zeichenfolge wird dann bei der Konfiguration Ihres Kunden-Gateway-Geräts verwendet.
Privates Zertifikat von AWS Private Certificate Authority
Wenn Sie keine Pre-Shared-Key verwenden möchten, können Sie ein privates Zertifikat von AWS Private Certificate Authority zur Authentifizierung Ihres VPNs verwenden.
Sie müssen mit AWS Private Certificate Authority (AWS Private CA) ein privates Zertifikat von einer untergeordneten CA erstellen. Um die dem ACM untergeordnete CA zu signieren, können Sie eine ACM Stamm-CA oder eine externe CA verwenden. Für Informationen zum Erstellen eines privaten Zertifikats siehe Erstellen und Verwalten einer privaten CA im AWS Private Certificate Authority -Benutzerhandbuch.
Sie müssen eine dienstbezogene Rolle erstellen, um das Zertifikat für die AWS Seite des Site-to-Site VPN-Tunnelendpunkts zu generieren und zu verwenden. Weitere Informationen finden Sie unter Dienstbezogene Rollen für VPN Site-to-Site.
Anmerkung
Um reibungslose Zertifizierungsrotationen zu ermöglichen, reicht jedes Zertifikat mit derselben Zertifizierungsstellenkette wie das ursprünglich im CreateCustomerGateway
API-Aufruf angegebene Zertifikat aus, um eine VPN-Verbindung herzustellen.
Wenn Sie die IP-Adresse Ihres Kunden-Gateway-Geräts nicht angeben, überprüfen wir die IP-Adresse nicht. Dieser Vorgang ermöglicht es Ihnen, das Kunden-Gateway-Gerät auf eine andere IP-Adresse zu verlegen, ohne die VPN-Verbindung neu konfigurieren zu müssen.
Site-to-Site VPN führt eine Überprüfung der Zertifikatskette für das Kunden-Gateway-Zertifikat durch, wenn Sie ein VPN-Zertifikat erstellen. Zusätzlich zu den grundlegenden CA- und Gültigkeitsprüfungen prüft Site-to-Site VPN, ob die X.509-Erweiterungen vorhanden sind, einschließlich Authority Key Identifier, Subject Key Identifier und Basic Constraints.