AWS Site-to-Site VPNOpções de autenticação de túnel

É possível usar chaves pré-compartilhadas ou certificados para autenticar seus endpoints de túnel da Site-to-Site VPN.

Chaves pré-compartilhadas

Uma chave pré-compartilhada (PSK) é a opção de autenticação padrão para túneis do Site-to-Site VPN. Ao criar um túnel, você pode especificar sua própria PSK ou permitir que a AWS gere uma para você automaticamente. A PSK é armazenada usando um dos seguintes métodos:

A string da PSK é então usada ao configurar o dispositivo do gateway do cliente.

Certificado privado do Autoridade de Certificação Privada da AWS

Se você não quiser usar chaves pré-compartilhadas, poderá usar um certificado privado do Autoridade de Certificação Privada da AWS para autenticar sua VPN.

Crie um certificado privado de uma CA subordinada usando o Autoridade de Certificação Privada da AWS (CA privada da AWS). Para assinar a CA subordinada do ACM, você pode usar uma CA raiz do ACM ou uma CA externa. Para obter mais informações sobre como criar um certificado privado, consulte Criar e gerenciar uma CA privada no Guia do usuário do Autoridade de Certificação Privada da AWS.

É necessário criar um perfil vinculado ao serviço para gerar e usar o certificado no lado da AWS do endpoint do túnel da Site-to-Site VPN. Para obter mais informações, consulte Perfil vinculado ao serviço da Site-to-Site VPN.

Se você não especificar o endereço IP do dispositivo de gateway do cliente, não verificaremos o endereço IP. Essa operação permite que você mova o dispositivo de gateway do cliente para um endereço IP diferente sem precisar reconfigurar a conexão VPN.

A Site-to-Site VPN realiza a verificação da cadeia de certificados no certificado do gateway do cliente quando você cria um certificado da Site-to-Site VPN. Além das verificações básicas de CA e validade, a Site-to-Site VPN verifica se as extensões X.509 estão presentes, incluindo Identificador de Chave de Autoridade, Identificador de Chave de Assunto e Restrições Básicas.