

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS Site-to-Site VPNOpções de autenticação de túnel
<a name="vpn-tunnel-authentication-options"></a>

É possível usar chaves pré-compartilhadas ou certificados para autenticar seus endpoints de túnel da Site-to-Site VPN.

## Chaves pré-compartilhadas
<a name="pre-shared-keys"></a>

Uma chave pré-compartilhada (PSK) é a opção de autenticação padrão para túneis do Site-to-Site VPN. Ao criar um túnel, você pode especificar sua própria PSK ou permitir que a AWS gere uma para você automaticamente. A PSK é armazenada usando um dos seguintes métodos:
+ Diretamente no serviço Site-to-Site VPN. Para obter mais informações, consulte [AWS Site-to-Site VPN dispositivos de gateway do cliente](your-cgw.md).
+ No AWS Secrets Manager para aumentar a segurança. Para ter mais informações sobre como usar o Secrets Manager, consulte [Recursos de segurança aprimorados usando o Secrets Manager](enhanced-security.md).

A string da PSK é então usada ao configurar o dispositivo do gateway do cliente.

## Certificado privado do Autoridade de Certificação Privada da AWS
<a name="certificate"></a>

Se você não quiser usar chaves pré-compartilhadas, poderá usar um certificado privado do Autoridade de Certificação Privada da AWS para autenticar sua VPN. 

Crie um certificado privado de uma CA subordinada usando o Autoridade de Certificação Privada da AWS (CA privada da AWS). Para assinar a CA subordinada do ACM, você pode usar uma CA raiz do ACM ou uma CA externa. Para obter mais informações sobre como criar um certificado privado, consulte [Criar e gerenciar uma CA privada](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) no *Guia do usuário do Autoridade de Certificação Privada da AWS*.

É necessário criar um perfil vinculado ao serviço para gerar e usar o certificado no lado da AWS do endpoint do túnel da Site-to-Site VPN. Para obter mais informações, consulte [Funções vinculadas a serviços para VPN Site-to-Site](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked).

**nota**  
Para facilitar a alternância contínua de certificados, qualquer certificado com a mesma cadeia de autoridade de certificação que a originalmente especificada na chamada de API `CreateCustomerGateway` é suficiente para estabelecer uma conexão VPN.

Se você não especificar o endereço IP do dispositivo de gateway do cliente, não verificaremos o endereço IP. Essa operação permite que você mova o dispositivo de gateway do cliente para um endereço IP diferente sem precisar reconfigurar a conexão VPN. 

A Site-to-Site VPN realiza a verificação da cadeia de certificados no certificado do gateway do cliente quando você cria um certificado da Site-to-Site VPN. Além das verificações básicas de CA e validade, a Site-to-Site VPN verifica se as extensões X.509 estão presentes, incluindo Identificador de Chave de Autoridade, Identificador de Chave de Assunto e Restrições Básicas.