Claves previamente compartidas Certificado privado de AWS Private Certificate Authority

AWS Site-to-Site VPNOpciones de autenticación de túneles de

Puede utilizar claves compartidas previamente o certificados para autenticar los puntos de enlace del túnel de Site-to-Site VPN.

Claves previamente compartidas

Una clave compartida previamente (PSK) es la opción de autenticación predeterminada para túneles de Site-to-Site VPN. Al crear un túnel, puede especificar su propia PSK o permitir que AWS genere una automáticamente. Para almacenar la PSK, utilice uno de los siguientes métodos:

Directamente en el servicio Site-to-Site VPN. Para obtener más información, consulte dispositivos de puerta de enlace de cliente de AWS Site-to-Site VPN.
En AWS Secrets Manager para mayor seguridad. Para obtener más información acerca de cómo utilizar Secrets Manager para almacenar una PSK, consulte Características de seguridad mejoradas con Secrets Manager.

A continuación, la PSK se utiliza para configurar el dispositivo de puerta de enlace de cliente.

Certificado privado de AWS Private Certificate Authority

Si no quiere utilizar claves previamente compartidas, puede utilizar un certificado privado de AWS Private Certificate Authority para autenticar la VPN.

Tiene que crear un certificado privado de una entidad emisora de certificados subordinada que use AWS Private Certificate Authority (Autoridad de certificación privada de AWS). Para firmar la CA subordinada de ACM, puede utilizar una CA raíz de ACM o una CA externa. Para obtener información sobre cómo crear un certificado privado, consulte la sección sobre creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority.

Debe crear un rol vinculado al servicio para poder generar y utilizar el certificado en el lado de AWS del punto de conexión del túnel de Site-to-Site VPN. Para obtener más información, consulte Roles vinculados a servicios para Site-to-Site VPN.

nota

Para facilitar las rotaciones de certificaciones sin problemas, basta con cualquier certificado que tenga la misma cadena de entidades de certificación que la especificada originalmente en la llamada a la API CreateCustomerGateway para establecer una conexión VPN.

Si no especifica la dirección IP de su dispositivo de gateway de cliente, no verificaremos la dirección IP. Esta operación le permite trasladar el dispositivo de gateway de cliente a otra dirección IP sin tener que volver a configurar la conexión de VPN.

Site-to-Site VPN realiza una verificación de la cadena de certificados en el certificado de puerta de enlace de cliente al crear una VPN de certificado. Además de la entidad de certificación básica y las comprobaciones de validez, Site-to-Site VPN comprueba si las extensiones X.509 están presentes, incluidos el identificador de clave de autoridad, el identificador de clave de asunto y las restricciones básicas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Opciones de túnel de VPN

Opciones de iniciación de túnel de VPN