Aktivieren Sie die gegenseitige Authentifizierung für AWS Client VPN - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie die gegenseitige Authentifizierung für AWS Client VPN

Sie können die gegenseitige Authentifizierung VPN im Client entweder unter Linux/macOS oder Windows aktivieren.

Linux/macOS

Das folgende Verfahren verwendet Open VPN easy-rsa, um die Server- und Client-Zertifikate und Schlüssel zu generieren, und lädt dann das Serverzertifikat und den Schlüssel auf hoch. ACM Weitere Informationen finden Sie im Easy-3-Schnellstart. RSA README

Um die Server- und Client-Zertifikate und Schlüssel zu generieren und sie hochzuladen ACM

  1. Klonen Sie das Open VPN easy-rsa Repo auf Ihren lokalen Computer und navigieren Sie zu dem Ordner. easy-rsa/easyrsa3

    $ git clone https://github.com/OpenVPN/easy-rsa.git
    $ cd easy-rsa/easyrsa3

  2. Initialisieren Sie eine neue Umgebung. PKI

    $ ./easyrsa init-pki

  3. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.

    $ ./easyrsa build-ca nopass

  4. Generieren Sie das Server-Zertifikat und den Schlüssel.

    $ ./easyrsa --san=DNS:server build-server-full server nopass

  5. Generieren Sie das Client-Zertifikat und den Schlüssel.

    Stellen Sie sicher, dass das Client-Zertifikat und der private Client-Schlüssel gespeichert werden, da Sie diese zum Konfigurieren des Clients benötigen.

    $ ./easyrsa build-client-full client1.domain.tld nopass

    Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.

  6. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.

    Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl mkdir. Das folgende Beispiel erstellt einen benutzerdefinierten Ordner in Ihrem Stammverzeichnis.

    $ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/

  7. Laden Sie das Serverzertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel zu ACM hoch. Stellen Sie sicher, dass Sie sie in derselben Region hochladen, in der Sie den VPN Client-Endpunkt erstellen möchten. Die folgenden Befehle verwenden AWS CLI zum Hochladen der Zertifikate. Informationen zum Hochladen der Zertifikate stattdessen über die ACM Konsole finden Sie unter Zertifikat importieren im AWS Certificate Manager Benutzerhandbuch.

    $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
    $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

    Sie müssen das Client-Zertifikat nicht unbedingt auf hochladenACM. Wenn die Server- und Client-Zertifikate von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie das Serverzertifikat sowohl ARN für den Server als auch für den Client verwenden, wenn Sie den VPN Client-Endpunkt erstellen. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.

Windows

Mit dem folgenden Verfahren wird die RSA Easy-3.x-Software installiert und zum Generieren von Server- und Client-Zertifikaten und Schlüsseln verwendet.

Um Server- und Client-Zertifikate und Schlüssel zu generieren und sie hochzuladen ACM

  1. Öffnen Sie die Seite Easy RSA Releases, laden Sie die ZIP Datei für Ihre Version von Windows herunter und extrahieren Sie sie.

  2. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Speicherort, an den der Ordner „EasyRSA-3.x“ extrahiert wurde.

  3. Führen Sie den folgenden Befehl aus, um die Easy RSA 3-Shell zu öffnen.

    C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat

  4. Initialisieren Sie eine neue PKI Umgebung.

    # ./easyrsa init-pki

  5. Um eine neue Zertifizierungsstelle (Certificate Authority, CA) zu erstellen, führen Sie diesen Befehl aus und folgen Sie den Anweisungen.

    # ./easyrsa build-ca nopass

  6. Generieren Sie das Server-Zertifikat und den Schlüssel.

    # ./easyrsa --san=DNS:server build-server-full server nopass

  7. Generieren Sie das Client-Zertifikat und den Schlüssel.

    # ./easyrsa build-client-full client1.domain.tld nopass

    Sie können diesen Schritt optional für jeden Client (Endbenutzer) wiederholen, der ein Client-Zertifikat und einen Schlüssel benötigt.

  8. Beenden Sie die Easy RSA 3-Shell.

    # exit

  9. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner und wechseln Sie dann in den benutzerdefinierten Ordner.

    Bevor Sie die Zertifikate und Schlüssel kopieren, erstellen Sie den benutzerdefinierten Ordner mit dem Befehl mkdir. Im folgenden Beispiel wird ein benutzerdefinierter Ordner in Ihrem C:\-Laufwerk erstellt.

    C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

  10. Laden Sie das Serverzertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel zu hochACM. Stellen Sie sicher, dass Sie sie in derselben Region hochladen, in der Sie den VPN Client-Endpunkt erstellen möchten. Die folgenden Befehle verwenden den AWS CLI , um die Zertifikate hochzuladen. Informationen zum Hochladen der Zertifikate stattdessen über die ACM Konsole finden Sie im AWS Certificate Manager Benutzerhandbuch unter Zertifikat importieren.

    aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
    aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt

    Sie müssen das Client-Zertifikat nicht unbedingt auf hochladenACM. Wenn die Server- und Client-Zertifikate von derselben Zertifizierungsstelle (CA) ausgestellt wurden, können Sie das Serverzertifikat sowohl ARN für den Server als auch für den Client verwenden, wenn Sie den VPN Client-Endpunkt erstellen. In den oben aufgeführten Schritten wurden beide Zertifikate mithilfe derselben Zertifizierungsstelle erstellt. Die Schritte zum Hochladen des Clientzertifikats sind jedoch der Vollständigkeit halber enthalten.