AWS Site-to-Site VPN opzioni di autenticazione del tunnel - AWS Site-to-Site VPN
Chiavi precondiviseCertificato privato di AWS Private Certificate Authority

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Site-to-Site VPN opzioni di autenticazione del tunnel

Puoi utilizzare chiavi o certificati precondivisi per autenticare gli endpoint del tunnel Site-to-Site VPN.

Chiavi precondivise

Una chiave precondivisa è l'opzione di autenticazione predefinita.

Una chiave precondivisa è un'opzione di tunnel Site-to-Site VPN che puoi specificare quando crei un tunnel VPN. Site-to-Site

Una chiave precondivisa è una stringa che immetti quando configuri il dispositivo gateway del cliente. Se non specifichi una stringa, ne viene generata automaticamente una. Per ulteriori informazioni, consulta AWS Site-to-Site VPN dispositivi gateway per i clienti.

Certificato privato di AWS Private Certificate Authority

Se non desideri utilizzare chiavi precondivise, puoi utilizzare un certificato privato da AWS Private Certificate Authority per autenticare la VPN.

Il certificato privato deve essere creato da una CA subordinata utilizzando AWS Private Certificate Authority (CA privata AWS). Per firmare la CA subordinata ACM, puoi utilizzare una CA root ACM o una CA esterna. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla Creazione e gestione di una CA privata nella Guida per l'utente di AWS Private Certificate Authority .

È necessario creare un ruolo collegato al servizio per generare e utilizzare il certificato per il AWS lato dell'endpoint del tunnel Site-to-Site VPN. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per VPN Site-to-Site.

Nota

Per facilitare la rotazione delle certificazioni senza interruzioni, qualsiasi certificato con la stessa catena di autorità di certificazione di quella originariamente specificata nella chiamata CreateCustomerGateway API è sufficiente per stabilire una connessione VPN.

Se non specifichi l'indirizzo IP del dispositivo gateway del cliente, l'indirizzo IP non viene controllato. Questa operazione consente di spostare il dispositivo gateway del cliente in un indirizzo IP diverso senza dover riconfigurare la connessione VPN.

Site-to-Site La VPN esegue la verifica della catena di certificati sul certificato gateway del cliente quando si crea una VPN certificata. Oltre alla CA di base e ai controlli di validità, la Site-to-Site VPN verifica se sono presenti le estensioni X.509, tra cui Authority Key Identifier, Subject Key Identifier e Basic Constraints.