Opzioni di autenticazione del tunnel Site-to-Site VPN

Puoi utilizzare chiavi precondivise o certificati per autenticare gli endpoint del tunnel Site-to-Site VPN.

Chiavi precondivise

Una chiave precondivisa è l'opzione di autenticazione predefinita.

Una chiave precondivisa è un'opzione del tunnel Site-to-Site VPN che puoi specificare quando crei un tunnel Site-to-Site VPN.

Una chiave precondivisa è una stringa che immetti quando configuri il dispositivo gateway del cliente. Se non specifichi una stringa, ne viene generata automaticamente una. Per ulteriori informazioni, consulta Il dispositivo gateway del cliente.

Certificato privato da AWS Private Certificate Authority

Se non desideri utilizzare chiavi precondivise, puoi utilizzare un certificato privato da AWS Private Certificate Authority per autenticare la VPN.

Il certificato privato deve essere creato da una CA subordinata utilizzando AWS Private Certificate Authority (CA privata AWS). Per firmare la CA subordinata ACM, puoi utilizzare una CA root ACM o una CA esterna. Per informazioni sulla creazione di un certificato privato, consulta la sezione relativa alla Creazione e gestione di una CA privata nella Guida per l'utente di AWS Private Certificate Authority.

Per generare e utilizzare il certificato per il lato AWS dell'endpoint del tunnel VPN site-to-site è necessario creare un ruolo collegato ai servizi. Per ulteriori informazioni, consulta Ruolo collegato ai servizi Site-to-Site VPN.

Dopo aver generato il certificato privato, specifica il certificato quando crei il gateway del cliente e quindi applicalo al dispositivo gateway del cliente.

Se non specifichi l'indirizzo IP del dispositivo gateway del cliente, l'indirizzo IP non viene controllato. Questa operazione consente di spostare il dispositivo gateway del cliente in un indirizzo IP diverso senza dover riconfigurare la connessione VPN.