Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS Site-to-Site VPN opciones de autenticación de túnel
Puede usar claves o certificados previamente compartidos para autenticar los puntos finales de su túnel Site-to-Site VPN.
Claves previamente compartidas
Una clave previamente compartida es la opción de autenticación predeterminada.
Una clave previamente compartida es una opción de túnel Site-to-Site VPN que puede especificar al crear un túnel VPN. Site-to-Site
Una clave previamente compartida es una cadena que se escribe al configurar el dispositivo de gateway de cliente. Si no especifica una cadena, generaremos una automáticamente para usted. Para obtener más información, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.
Certificado privado de AWS Private Certificate Authority
Si no quiere utilizar claves previamente compartidas, puede utilizar un certificado privado de AWS Private Certificate Authority para autenticar la VPN.
Tiene que crear un certificado privado de una entidad emisora de certificados subordinada que use AWS Private Certificate Authority (Autoridad de certificación privada de AWS). Para firmar la CA subordinada de ACM, puede utilizar una CA raíz de ACM o una CA externa. Para obtener información sobre cómo crear un certificado privado, consulte la sección sobre Creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority .
Debe crear un rol vinculado al servicio para generar y usar el certificado para el AWS extremo del túnel Site-to-Site VPN. Para obtener más información, consulte Funciones vinculadas al servicio para la VPN Site-to-Site.
nota
Para facilitar la rotación de certificaciones sin problemas, basta con cualquier certificado que tenga la misma cadena de entidades de certificación que la especificada originalmente en la llamada a la CreateCustomerGateway API para establecer una conexión VPN.
Si no especifica la dirección IP de su dispositivo de gateway de cliente, no verificaremos la dirección IP. Esta operación le permite trasladar el dispositivo de gateway de cliente a otra dirección IP sin tener que volver a configurar la conexión de VPN.
Site-to-Site Al crear un certificado de VPN, la VPN verifica la cadena de certificados en el certificado de la pasarela del cliente. Además de las comprobaciones básicas de autenticidad y validez, la Site-to-Site VPN comprueba si las extensiones X.509 están presentes, incluidos el identificador de clave de autoridad, el identificador de clave de asunto y las restricciones básicas.
