本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 隧道身份验证选项
<a name="vpn-tunnel-authentication-options"></a>

您可以使用预共享密钥或证书对 Site-to-Site VPN 隧道端点进行身份验证。

## 预共享密钥
<a name="pre-shared-keys"></a>

预共享密钥（PSK）是 Site-to-Site VPN 隧道的默认身份验证选项。创建隧道时，您可以指定自己的 PSK，也可以允许 AWS 自动生成一个。使用以下方法之一存储 PSK：
+ 直接存储在 Site-to-Site VPN 服务中。有关更多信息，请参阅 [AWS Site-to-Site VPN 客户网关设备](your-cgw.md)。
+ 存储在 AWS Secrets Manager 中以增强安全性。有关使用 Secrets Manager 的更多信息，请参阅[使用 Secrets Manager 增强安全功能](enhanced-security.md)。

然后，在配置客户网关设备时使用 PSK 字符串。

## 来自 的私有证书AWS 私有证书颁发机构
<a name="certificate"></a>

如果您不想使用预共享密钥，则可以使用 AWS 私有证书颁发机构 的私有证书对 VPN 进行身份验证。

您必须使用 AWS 私有证书颁发机构 (AWS 私有 CA)，通过从属 CA 创建私有证书 要对 ACM 从属 CA 签名，您可以使用 ACM 根 CA 或外部 CA。有关创建私有证书的更多信息，请参阅《*AWS 私有证书颁发机构 用户指南*》中的[创建和管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。

您必须创建服务相关角色才能为 Site-to-Site VPN 隧道端点的 AWS 端生成并使用证书。有关更多信息，请参阅 [VPN 的 Site-to-Site服务相关角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。

**注意**  
为了实现无缝证书轮换，任何与 `CreateCustomerGateway` API 调用中最初指定的证书具有相同证书颁发机构链的证书均可用于建立 VPN 连接。

如果您不指定客户网关设备的 IP 地址，我们将不检查 IP 地址。此操作允许您将客户网关设备移动到不同的 IP 地址，而无需重新配置 VPN 连接。

当您创建证书 VPN 时，Site-to-Site VPN 会对客户网关证书执行证书链验证。除了基本的 CA 和有效性检查外，Site-to-Site VPN 还会检查是否存在 X.509 扩展，包括授权密钥标识符、使用者密钥标识符和基本约束。