Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Site-to-Site VPN opsi otentikasi terowongan
Anda dapat menggunakan kunci yang telah dibagikan sebelumnya, atau sertifikat untuk mengautentikasi titik akhir terowongan Site-to-Site VPN Anda.
Kunci pra-berbagi
Kunci pra-bersama (PSK) adalah opsi otentikasi default untuk Site-to-Site terowongan VPN. Saat membuat terowongan, Anda dapat menentukan PSK Anda sendiri atau mengizinkan AWS untuk membuatnya secara otomatis untuk Anda. PSK disimpan menggunakan salah satu metode berikut:
-
Langsung di layanan Site-to-Site VPN. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.
-
AWS Secrets Manager Untuk keamanan yang ditingkatkan. Untuk informasi selengkapnya tentang menggunakan Secrets Manager untuk menyimpan PSK, lihatFitur keamanan yang disempurnakan menggunakan Secrets Manager.
String PSK kemudian digunakan saat mengonfigurasi perangkat gateway pelanggan Anda.
Sertifikat pribadi dari AWS Private Certificate Authority
Jika Anda tidak ingin menggunakan kunci pra-berbagi, Anda dapat menggunakan sertifikat privat dari AWS Private Certificate Authority untuk mengautentikasi VPN Anda.
Anda harus membuat sertifikat pribadi dari CA bawahan menggunakan AWS Private Certificate Authority (AWS Private CA). Untuk menandai CA bawahan ACM, Anda dapat menggunakan CA ACM Root atau CA eksternal. Untuk informasi selengkapnya tentang cara membuat sertifikat privat, lihat Membuat dan Mengelola CA Privat di Panduan Pengguna AWS Private Certificate Authority .
Anda harus membuat peran terkait layanan untuk menghasilkan dan menggunakan sertifikat untuk AWS sisi titik akhir terowongan Site-to-Site VPN. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk VPN Site-to-Site.
catatan
Untuk memfasilitasi rotasi sertifikasi yang mulus, sertifikat apa pun dengan rantai otoritas sertifikat yang sama seperti yang awalnya ditentukan dalam panggilan CreateCustomerGateway API sudah cukup untuk membuat Koneksi VPN.
Jika Anda tidak menentukan alamat IP perangkat gateway pelanggan Anda, kami tidak akan memeriksa alamat IP. Operasi ini memungkinkan Anda untuk memindahkan perangkat gateway pelanggan ke alamat IP yang berbeda tanpa harus mengonfigurasi ulang koneksi VPN.
Site-to-Site VPN melakukan verifikasi rantai sertifikat pada sertifikat gateway pelanggan saat Anda membuat sertifikat VPN. Selain CA dasar dan pemeriksaan validitas, Site-to-Site VPN memeriksa apakah ekstensi X.509 ada, termasuk Authority Key Identifier, Subject Key Identifier, dan Basic Constraints.
