事前共有キーからのプライベート証明書 AWS Private Certificate Authority

AWS Site-to-Site VPN トンネル認証オプション

事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。

事前共有キー

Site-to-Site VPN トンネルのデフォルトの認証オプションは、事前共有キー (PSK) です。トンネルを作成するときは、独自の PSK を指定するか、 AWS に自動生成を許可できます。PSK は、次のいずれかの方法を使用して保存されます。

Site-to-Site VPN サービスで直接。詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。
セキュリティを強化 AWS Secrets Manager するために。Secrets Manager を使用して PSK を保存する方法の詳細については、「」を参照してくださいSecrets Manager を使用したセキュリティ機能の強化。

その後、PSK 文字列はカスタマーゲートウェイデバイスを設定するときに使用されます。

からのプライベート証明書 AWS Private Certificate Authority

事前共有キーを使用しない場合は、 AWS Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。

AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスリンクロールを作成する必要があります。詳細については、「Site-to-Site VPN のサービスにリンクされたロール」を参照してください。

注記

シームレスな証明書ローテーションを容易にするために、CreateCustomerGatewayAPI コールで最初に指定されたものと同じ認証機関チェーンを持つ証明書があれば、VPN 接続を確立するために十分です。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。

Site-to-Site VPN は、証明書 VPN を作成するときにカスタマーゲートウェイ証明書に対して証明書チェーン検証を実行します。Site-to-Site VPN は、基本的な CA と有効性チェックに加えて、権限キー識別子、サブジェクトキー識別子、基本制約など、X.509 拡張機能が存在するかどうかを確認します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPN トンネルオプション

VPN トンネル開始オプション