AWS Site-to-Site VPN opsi otentikasi terowongan - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Site-to-Site VPN opsi otentikasi terowongan

Anda dapat menggunakan kunci yang telah dibagikan sebelumnya, atau sertifikat untuk mengautentikasi titik akhir Site-to-Site VPN terowongan Anda.

Kunci pra-berbagi

Kunci pra-berbagi adalah opsi autentikasi default.

Kunci yang telah dibagikan sebelumnya adalah opsi Site-to-Site VPN terowongan yang dapat Anda tentukan saat membuat Site-to-Site VPN terowongan.

Kunci pra-berbagi adalah string yang Anda masukkan ketika mengonfigurasi perangkat gateway pelanggan. Jika Anda tidak menentukan string, kami secara otomatis membuatnya untuk Anda. Untuk informasi selengkapnya, lihat AWS Site-to-Site VPN perangkat gateway pelanggan.

Sertifikat pribadi dari AWS Private Certificate Authority

Jika Anda tidak ingin menggunakan kunci yang telah dibagikan sebelumnya, Anda dapat menggunakan sertifikat pribadi dari AWS Private Certificate Authority untuk mengautentikasi Anda. VPN

Anda harus membuat sertifikat pribadi dari CA bawahan menggunakan AWS Private Certificate Authority (AWS Private CA). Untuk menandatangani CA ACM bawahan, Anda dapat menggunakan ACM Root CA atau CA eksternal. Untuk informasi selengkapnya tentang cara membuat sertifikat privat, lihat Membuat dan Mengelola CA Privat di Panduan Pengguna AWS Private Certificate Authority .

Anda harus membuat peran terkait layanan untuk menghasilkan dan menggunakan sertifikat untuk AWS sisi titik akhir Site-to-Site VPN terowongan. Untuk informasi selengkapnya, lihat Peran terkait layanan untuk Site-to-Site VPN.

Setelah membuat sertifikat privat, Anda akan menentukan sertifikat ketika membuat gateway pelanggan, dan kemudian menerapkannya ke perangkat gateway pelanggan Anda.

Jika Anda tidak menentukan alamat IP perangkat gateway pelanggan Anda, kami tidak akan memeriksa alamat IP. Operasi ini memungkinkan Anda untuk memindahkan perangkat gateway pelanggan ke alamat IP yang berbeda tanpa harus mengkonfigurasi ulang VPN koneksi.

Site-to-Site VPNmelakukan verifikasi rantai sertifikat pada sertifikat gateway pelanggan saat Anda membuat sertifikatVPN. Selain CA dasar dan pemeriksaan validitas, periksa apakah ekstensi X.509 ada, Site-to-Site VPN termasuk Authority Key Identifier, Subject Key Identifier, dan Basic Constraints.