AWS Site-to-Site VPN opciones de autenticación de túnel - AWS Site-to-Site VPN
Claves previamente compartidasCertificado privado de AWS Private Certificate Authority

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Site-to-Site VPN opciones de autenticación de túnel

Puede utilizar claves o certificados previamente compartidos para autenticar los puntos finales de su Site-to-Site VPN túnel.

Claves previamente compartidas

Una clave previamente compartida es la opción de autenticación predeterminada.

Una clave previamente compartida es una opción de Site-to-Site VPN túnel que puede especificar al crear un túnel. Site-to-Site VPN

Una clave previamente compartida es una cadena que se escribe al configurar el dispositivo de gateway de cliente. Si no especifica una cadena, generaremos una automáticamente para usted. Para obtener más información, consulte AWS Site-to-Site VPN dispositivos de puerta de enlace para clientes.

Certificado privado de AWS Private Certificate Authority

Si no desea utilizar claves previamente compartidas, puede utilizar un certificado privado de AWS Private Certificate Authority para autenticar su. VPN

Tiene que crear un certificado privado de una entidad emisora de certificados subordinada que use AWS Private Certificate Authority (Autoridad de certificación privada de AWS). Para firmar la CA ACM subordinada, puede utilizar una CA ACM raíz o una CA externa. Para obtener información sobre cómo crear un certificado privado, consulte la sección sobre Creación y administración de una CA privada en la Guía del usuario de AWS Private Certificate Authority .

Debe crear un rol vinculado al servicio para generar y usar el certificado para el extremo AWS lateral del Site-to-Site VPN túnel. Para obtener más información, consulte Funciones vinculadas al servicio para Site-to-Site VPN.

Después de generar el certificado privado, especifique el certificado al crear la gateway de cliente y luego aplíquelo al dispositivo de gateway de cliente.

Si no especifica la dirección IP de su dispositivo de gateway de cliente, no verificaremos la dirección IP. Esta operación le permite mover el dispositivo de puerta de enlace del cliente a una dirección IP diferente sin tener que volver a configurar la conexión. VPN

Site-to-Site VPNrealiza la verificación de la cadena de certificados en el certificado de la pasarela de clientes al crear un certificadoVPN. Además de las comprobaciones básicas de certificación y validez, Site-to-Site VPN comprueba si las extensiones X.509 están presentes, incluidos el identificador de clave de autoridad, el identificador de clave de asunto y las restricciones básicas.