AWS Site-to-Site VPN 通道身分驗證選項 - AWS Site-to-Site VPN
預先共用金鑰來自 的私有憑證 AWS Private Certificate Authority

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Site-to-Site VPN 通道身分驗證選項

您可以使用預先共享金鑰或憑證來驗證站台對站台 VPN 通道端點。

預先共用金鑰

預先共用金鑰 (PSK) 是Site-to-Site通道的預設身分驗證選項。建立通道時,您可以指定自己的 PSK 或允許 為您 AWS 自動產生。PSK 是使用下列其中一種方法來存放:

設定您的客戶閘道裝置時,會使用 PSK 字串。

來自 的私有憑證 AWS Private Certificate Authority

如果您不想使用預先共用金鑰,則可使用來自 AWS Private Certificate Authority 的私有憑證來驗證您的 VPN。

您必須使用 AWS Private Certificate Authority (AWS 私有 CA) 從次級 CA 建立私有憑證。若要簽署 ACM 次級 CA,您可以使用 ACM 根 CA 或外部 CA。如需建立私有憑證的詳細資訊,請參閱《AWS Private Certificate Authority 使用者指南》中的建立及管理私有 CA

您必須建立服務連結角色,才能產生並使用站台對站台 VPN 通道端點 AWS 端的憑證。如需詳細資訊,請參閱站台對站台 VPN 服務連結角色

注意

為了促進無縫的認證輪換,與 CreateCustomerGateway API 呼叫中最初指定的憑證具有相同憑證授權單位鏈結的任何憑證都足以建立 VPN 連線。

如果您未指定客戶閘道裝置的 IP 地址,我們不會檢查 IP 地址。此操作可讓您將客戶閘道裝置移至不同的 IP 地址,而不必重新設定 VPN 連接。

當您建立憑證 VPN 時Site-to-Site VPN 會在客戶閘道憑證上執行憑證鏈驗證。除了基本 CA 和有效性檢查之外,Site-to-Site VPN 還會檢查 X.509 擴充功能是否存在,包括授權金鑰識別符、主體金鑰識別符和基本限制。