事前共有キーからのプライベート証明書AWS Private Certificate Authority

AWS Site-to-Site VPN トンネル認証オプション

事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。

事前共有キー

Site-to-Site VPN トンネルのデフォルトの認証オプションは、事前共有キー (PSK) です。トンネルを作成する場合、独自の PSK を指定するか、AWS に自動生成を許可できます。PSK は以下のいずれかの方法を使用して保存します。

Site-to-Site VPN サービスに直接保存する。詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。
セキュリティを強化するため、AWS Secrets Manager に保存する。Secrets Manager の使用に関する詳細は「Secrets Manager を使用したセキュリティ機能の強化」を参照してください。

PSK 文字列はその後、カスタマーゲートウェイデバイスを設定するときに使用されます。

からのプライベート証明書AWS Private Certificate Authority

事前共有キーを使用しない場合は、AWS Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。

AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスリンクロールを作成する必要があります。詳細については、「Site-to-Site VPN のサービスにリンクされたロール」を参照してください。

注記

シームレスな証明書ローテーションを容易に行えるように、CreateCustomerGateway API コールで最初に指定されたものと同じ認証局チェーンを持つ証明書があれば、VPN 接続を確立できるようになっています。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。

Site-to-Site VPN は、証明書 VPN を作成するときにカスタマーゲートウェイ証明書に対して証明書チェーン検証を実行します。Site-to-Site VPN は、基本的な CA と有効性チェックに加えて、権限キー識別子、サブジェクトキー識別子、基本制約など、X.509 拡張機能が存在するかどうかを確認します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

VPN トンネルオプション

VPN トンネル開始オプション