AWS Site-to-Site VPN トンネル認証オプション - AWS Site-to-Site VPN
事前共有キーからのプライベート証明書 AWS Private Certificate Authority

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN トンネル認証オプション

事前共有キーまたは証明書を使用して、VPNトンネルエンドポイントを Site-to-Site認証できます。

事前共有キー

事前共有キーは、デフォルトの認証オプションです。

事前共有キーは、 Site-to-SiteVPNトンネルの作成時に指定できるVPNトンネルオプションです Site-to-Site。

事前共有キーは、カスタマーゲートウェイデバイスを設定するときに入力する文字列です。文字列を指定しない場合は、文字列が自動的に生成されます。詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。

からのプライベート証明書 AWS Private Certificate Authority

事前共有キーを使用しない場合は、 の AWS Private Certificate Authority プライベート証明書を使用して を認証できますVPN。

AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するには、ACMルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスにリンクされた Site-to-Siteロールを作成する必要があります。詳細については、「のサービスにリンクされたロール Site-to-Site VPN」を参照してください。

プライベート証明書を生成したら、カスタマーゲートウェイの作成時に証明書を指定し、カスタマーゲートウェイデバイスに適用します。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。

Site-to-Site VPN は、証明書 を作成するときに、カスタマーゲートウェイ証明書の証明書チェーン検証を実行しますVPN。CA と有効性の基本的なチェックに加えて、 VPN Site-to-Siteは、権限キー識別子、サブジェクトキー識別子、基本制約など、X.509 拡張機能が存在するかどうかを確認します。