本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Site-to-Site VPN 通道身分驗證選項
<a name="vpn-tunnel-authentication-options"></a>

您可以使用預先共享金鑰或憑證來驗證站台對站台 VPN 通道端點。

## 預先共用金鑰
<a name="pre-shared-keys"></a>

預先共用金鑰 (PSK) 是Site-to-Site通道的預設身分驗證選項。建立通道時，您可以指定自己的 PSK 或允許 為您 AWS 自動產生。PSK 是使用下列其中一種方法來存放：
+ 直接在Site-to-Site服務中。如需詳細資訊，請參閱[AWS Site-to-Site VPN 客戶閘道裝置](your-cgw.md)。
+ 在 AWS Secrets Manager 中增強安全性。如需使用 Secrets Manager 存放 PSK 的詳細資訊，請參閱 [使用 Secrets Manager 增強安全功能](enhanced-security.md)。

設定客戶閘道裝置時，會使用 PSK 字串。

## 來自 的私有憑證 AWS 私有憑證授權單位
<a name="certificate"></a>

如果您不想使用預先共用金鑰，則可使用來自 AWS 私有憑證授權單位 的私有憑證來驗證您的 VPN。

您必須使用 AWS 私有憑證授權單位 (AWS 私有 CA) 從次級 CA 建立私有憑證。若要簽署 ACM 次級 CA，您可以使用 ACM 根 CA 或外部 CA。如需建立私有憑證的詳細資訊，請參閱《*AWS 私有憑證授權單位 使用者指南*》中的[建立及管理私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html)。

您必須建立服務連結角色，才能產生並使用站台對站台 VPN 通道端點 AWS 端的憑證。如需詳細資訊，請參閱[站台對站台 VPN 服務連結角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service-linked)。

**注意**  
為了促進無縫的認證輪換，與 `CreateCustomerGateway` API 呼叫中最初指定的憑證具有相同憑證授權單位鏈結的任何憑證都足以建立 VPN 連線。

如果您未指定客戶閘道裝置的 IP 地址，我們不會檢查 IP 地址。此操作可讓您將客戶閘道裝置移至不同的 IP 地址，而不必重新設定 VPN 連接。

當您建立憑證 VPN 時Site-to-Site VPN 會在客戶閘道憑證上執行憑證鏈驗證。除了基本 CA 和有效性檢查之外，Site-to-Site VPN 還會檢查 X.509 擴充功能是否存在，包括授權金鑰識別符、主體金鑰識別符和基本限制。