AWS Site-to-Site VPN options d'authentification du tunnel - AWS Site-to-Site VPN
Clés prépartagéesCertificat privé de AWS Private Certificate Authority

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Site-to-Site VPN options d'authentification du tunnel

Vous pouvez utiliser des clés ou des certificats pré-partagés pour authentifier les points de terminaison de votre Site-to-Site VPN tunnel.

Clés prépartagées

La clé prépartagée est l'option d'authentification par défaut.

Une clé pré-partagée est une option de Site-to-Site VPN tunnel que vous pouvez spécifier lorsque vous créez un Site-to-Site VPN tunnel.

Une clé prépartagée est une chaîne que vous entrez lorsque vous configurez votre périphérique de passerelle client. Si vous ne spécifiez pas de chaîne, nous générons automatiquement une chaîne pour vous. Pour de plus amples informations, veuillez consulter AWS Site-to-Site VPN dispositifs de passerelle client.

Certificat privé de AWS Private Certificate Authority

Si vous ne souhaitez pas utiliser de clés pré-partagées, vous pouvez utiliser un certificat privé de AWS Private Certificate Authority pour authentifier votre. VPN

Vous devez créer un certificat privé à partir d'une autorité de certification subordonnée à l'aide d' AWS Private Certificate Authority (Autorité de certification privée AWS). Pour signer l'ACMautorité de certification subordonnée, vous pouvez utiliser une autorité de certification ACM racine ou une autorité de certification externe. Pour de plus amples informations sur la création d'un certificat privé, veuillez consulter Création et gestion d'une autorité de certification privée dans le Guide de l'utilisateur AWS Private Certificate Authority .

Vous devez créer un rôle lié à un service pour générer et utiliser le certificat pour le point de terminaison du AWS côté du Site-to-Site VPN tunnel. Pour de plus amples informations, veuillez consulter Rôles liés à un service pour Site-to-Site VPN.

Après avoir généré le certificat privé, vous spécifiez le certificat lorsque vous créez la passerelle client, puis vous l'appliquez à votre périphérique de passerelle client.

Si vous ne spécifiez pas l'adresse IP de votre périphérique de passerelle client, nous ne vérifions pas l'adresse IP. Cette opération vous permet de déplacer le dispositif de passerelle client vers une adresse IP différente sans avoir à reconfigurer la VPN connexion.

Site-to-Site VPNeffectue une vérification de la chaîne de certificats sur le certificat de passerelle client lorsque vous créez un certificatVPN. Outre les contrôles d'autorité de certification et de validité de base, Site-to-Site VPN vérifie si les extensions X.509 sont présentes, notamment l'identifiant de clé d'autorité, l'identifiant de clé de sujet et les contraintes de base.