Аутентификация сертификата AWS IPsec Site-to-Site VPN — подписи запросов на сертификат не совпадают

У меня возникают проблемы с аутентификацией сертификата с использованием AWS Site-to-Site VPN. Я создал новое VPN-подключение в AWS, используя ту же конфигурацию, которая работала для общего секрета. Однако, когда я проверяю трафик, запрос сертификата в ответе IKE_SA_INIT имеет два центра сертификации, которые я не узнаю (и только два). Это не хэши SHA1 каких-либо настроенных сертификатов или центров сертификации в их цепочке. Я удалил соединение, клиентский шлюз и сертификаты и начал с нуля. Новый запрос сертификата IKA_SA_INIT имеет точно такие же хэши ЦС...

Может ли кто-нибудь помочь мне понять, что здесь происходит? Насколько я понимаю, двумя центрами сертификации в запросе на сертификат должны быть мой корневой ЦС частного центра сертификации AWS и подчиненный ЦС. Существует очень мало документации по реализации аутентификации сертификатов с помощью AWS Site-to-Site VPN. (вероятно, потому что это так дорого) Я прибегнул к чтению документов RFC, чтобы понять все тонкости, и именно так я обнаружил вышеуказанную проблему.

Корневой ЦС частного центра сертификации AWS: 6b cd 12 84 77 b1 38 45 02 48 04 6d a7 89 3c a2 82 52 39 e7 Подчиненный ЦС частного центра сертификации AWS: 40 2c 4b 0e 66 06 98 28 e0 3b a4 61 8b 12 fd ba а2 44 41 73

ISAKMP IKE_SA_INIT Ответ от AWS — ограничивается запросом сертификата

      Payload: Certificate Request (38)
    Next payload: Notify (41)
    0... .... = Critical Bit: Not critical
    .000 0000 = Reserved: 0x00
    Payload length: 45
    Certificate Type: X.509 Certificate - Signature (4)
    Certificate Authority Data: e75394041957b0ec0433caaee301ad3ad0361355
    Certificate Authority Data: 0252df87079a8a5cd49c05afd1845482d1ba1448