AWS Site-to-Site VPN 隧道身份验证选项 - AWS Site-to-Site VPN
预共享密钥来自的私有证书 AWS Private Certificate Authority

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Site-to-Site VPN 隧道身份验证选项

您可以使用预共享密钥或证书对 Site-to-SiteVPN隧道端点进行身份验证。

预共享密钥

预共享密钥是默认身份验证选项。

预共享密钥是您可以在创建 Site-to-SiteVPN隧道时指定的 Site-to-SiteVPN隧道选项。

预共享密钥是您在配置客户网关设备时输入的字符串。如果您没有指定字符串,我们会自动为您生成一个。有关更多信息,请参阅 AWS Site-to-Site VPN 客户网关设备

来自的私有证书 AWS Private Certificate Authority

如果您不想使用预共享密钥,则可以使用中的私有证书对您的VPN密钥 AWS Private Certificate Authority 进行身份验证。

您必须使用 AWS Private Certificate Authority (AWS 私有 CA),通过从属 CA 创建私有证书 要签署从ACM属 CA,您可以使用ACM根 CA 或外部 CA。有关创建私有证书的更多信息,请参阅《AWS Private Certificate Authority 用户指南》中的创建和管理私有 CA

您必须创建服务相关角色才能生成和使用 Site-to-SiteVPN隧道端点 AWS 一侧的证书。有关更多信息,请参阅 的服务相关角色 Site-to-Site VPN

生成私有证书后,您可以在创建客户网关时指定该证书,然后将其应用于客户网关设备。

如果您不指定客户网关设备的 IP 地址,我们将不检查 IP 地址。此操作允许您将客户网关设备移动到其他 IP 地址,而无需重新配置VPN连接。

Site-to-Site VPN创建证书时,对客户网关证书执行证书链验证VPN。除了基本的 CA 和有效性检查外,还会 Site-to-SiteVPN检查 X.509 扩展是否存在,包括授权密钥标识符、主题密钥标识符和基本约束。