预共享密钥来自的私有证书 AWS Private Certificate Authority

AWS Site-to-Site VPN 隧道身份验证选项

您可以使用预共享密钥或证书对 Site-to-Site VPN 隧道端点进行身份验证。

预共享密钥

预共享密钥 (PSK) 是 VP Site-to-Site N 隧道的默认身份验证选项。创建隧道时，您可以指定自己的 PSK，也可以 AWS 允许自动生成一个 PSK。PSK 使用以下方法之一进行存储：

直接在 Site-to-Site VPN 服务中。有关更多信息，请参阅 AWS Site-to-Site VPN 客户网关设备。
AWS Secrets Manager 为了增强安全性。有关使用 Secrets Manager 存储 PSK 的更多信息，请参阅使用 Secrets Manager 增强安全功能。

然后，在配置客户网关设备时使用 PSK 字符串。

来自的私有证书 AWS Private Certificate Authority

如果您不想使用预先共享的密钥，则可以使用来自 AWS Private Certificate Authority 的私有证书对 VPN 进行身份验证。

您必须使用 AWS Private Certificate Authority (AWS 私有 CA)，通过从属 CA 创建私有证书要对 ACM 从属 CA 签名，您可以使用 ACM 根 CA 或外部 CA。有关创建私有证书的更多信息，请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA。

您必须创建服务相关角色才能生成和使用 Site-to-Site VPN 隧道端点 AWS 一侧的证书。有关更多信息，请参阅 VPN 的 Site-to-Site服务相关角色。

注意

为了便于无缝的证书轮换，任何与 CreateCustomerGateway API 调用中最初指定的证书具有相同证书颁发机构链的证书都足以建立 VPN 连接。

如果您不指定客户网关设备的 IP 地址，我们将不检查 IP 地址。此操作允许您将客户网关设备移动到不同的 IP 地址，而无需重新配置 VPN 连接。

Site-to-Site 当您创建证书 VPN 时，VPN 会对客户网关证书执行证书链验证。除了基本的 CA 和有效性检查外， Site-to-SiteVPN 还会检查 X.509 扩展是否存在，包括授权密钥标识符、主题密钥标识符和基本约束。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

VPN 隧道选项

VPN 隧道启动选项