Site-to-Site VPN トンネル認証オプション

事前共有キーまたは証明書を使用して、Site-to-Site VPN トンネルエンドポイントを認証できます。

事前共有キー

事前共有キーは、デフォルトの認証オプションです。

事前共有キーは、Site-to-Site VPN トンネルの作成時に指定できる、Site-to-Site VPN トンネルオプションです。

事前共有キーは、カスタマーゲートウェイデバイスを設定するときに入力する文字列です。文字列を指定しない場合は、文字列が自動的に生成されます。詳細については、「カスタマーゲートウェイデバイス」を参照してください。

からのプライベート証明書 AWS Private Certificate Authority

事前共有キーを使用しない場合は、 AWS Private Certificate Authority からのプライベート証明書を使用して VPN を認証できます。

AWS Private Certificate Authority (AWS Private CA) を使用して、下位 CA からプライベート証明書を作成する必要があります。ACM 下位 CA に署名するために、ACM ルート CA または外部 CA を使用できます。プライベート証明書の作成の詳細については、AWS Private Certificate Authority ユーザーガイドの「プライベート CA の作成と管理」を参照してください。

Site-to-Site VPN トンネルエンドポイントの AWS 側の証明書を生成して使用するには、サービスリンクロールを作成する必要があります。詳細については、「Site-to-Site VPN のサービスにリンクされたロール」を参照してください。

プライベート証明書を生成したら、カスタマーゲートウェイの作成時に証明書を指定し、カスタマーゲートウェイデバイスに適用します。

カスタマーゲートウェイデバイスの IP アドレスを指定しない場合、IP アドレスは確認されません。このオペレーションにより、VPN 接続を再設定することなく、カスタマーゲートウェイデバイスを別の IP アドレスに移動できます。