Optionen für die Site-to-Site-Tunnel-Authentifizierung

Sie können Pre-Shared-Keys oder Zertifikate zur Authentifizierung Ihrer Site-to-Site-Tunnel-Endpunkte verwenden.

Pre-Shared-Key

Ein Pre-Shared-Key ist die Standardauthentifizierungsoption.

Ein Pre-Shared-Key ist eine Site-to-Site-VPN-Tunneloption, die Sie beim Erstellen eines Site-to-Site-VPN-Tunnels angeben können.

Ein Pre-Shared-Key ist eine Zeichenfolge, die Sie bei der Konfiguration Ihres Kunden-Gateway-Geräts eingeben. Wenn Sie keine Zeichenfolge angeben, generieren wir automatisch eine für Sie. Weitere Informationen finden Sie unter Ihr Kunden-Gateway-Gerät.

Privates Zertifikat von AWS Private Certificate Authority

Wenn Sie keine Pre-Shared-Key verwenden möchten, können Sie ein privates Zertifikat von AWS Private Certificate Authority zur Authentifizierung Ihres VPNs verwenden.

Sie müssen mit AWS Private Certificate Authority (AWS Private CA) ein privates Zertifikat von einer untergeordneten CA erstellen. Um die dem ACM untergeordnete CA zu signieren, können Sie eine ACM Stamm-CA oder eine externe CA verwenden. Für Informationen zum Erstellen eines privaten Zertifikats siehe Erstellen und Verwalten einer privaten CA im AWS Private Certificate Authority -Benutzerhandbuch.

Sie müssen eine serviceverknüpfte Rolle erstellen, um das Zertifikat für die AWS -Seite des Site-to-Site-Tunnelendpunkts zu generieren und zu verwenden. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen für Site-to-Site VPN.

Nachdem Sie das private Zertifikat generiert haben, geben Sie das Zertifikat beim Erstellen des Kunden-Gateways an und wenden es dann auf Ihr Kunden-Gateway-Gerät an.

Wenn Sie die IP-Adresse Ihres Kunden-Gateway-Geräts nicht angeben, überprüfen wir die IP-Adresse nicht. Dieser Vorgang ermöglicht es Ihnen, das Kunden-Gateway-Gerät auf eine andere IP-Adresse zu verlegen, ohne die VPN-Verbindung neu konfigurieren zu müssen.