Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Gegenseitige Authentifizierung in AWS Client VPN
Bei der gegenseitigen Authentifizierung VPN verwendet der Client Zertifikate, um die Authentifizierung zwischen dem Client und dem Server durchzuführen. Zertifikate sind eine digitale Methode zur Identifizierung. Sie werden von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt. Der Server verwendet Client-Zertifikate, um Clients zu authentifizieren, wenn sie versuchen, eine Verbindung zum VPN Client-Endpunkt herzustellen. Sie müssen ein Serverzertifikat und -schlüssel sowie mindestens ein Client-Zertifikat und -Schlüssel erstellen.
Sie müssen das Serverzertifikat auf AWS Certificate Manager (ACM) hochladen und es angeben, wenn Sie einen VPN Client-Endpunkt erstellen. Wenn Sie das Serverzertifikat auf hochladenACM, geben Sie auch die Zertifizierungsstelle (CA) an. Sie müssen das Client-Zertifikat nur hochladen, ACM wenn sich die CA des Client-Zertifikats von der CA des Serverzertifikats unterscheidet. Weitere Informationen zu ACM finden Sie im AWS Certificate Manager Benutzerhandbuch.
Sie können für jeden Client, der eine Verbindung zum VPN Client-Endpunkt herstellt, ein separates Client-Zertifikat und einen eigenen Schlüssel erstellen. Auf diese Weise können Sie ein bestimmtes Client-Zertifikat widerrufen, wenn ein Benutzer Ihre Organisation verlässt. In diesem Fall können Sie beim Erstellen des VPN Client-Endpunkts das Serverzertifikat ARN für das Client-Zertifikat angeben, vorausgesetzt, das Client-Zertifikat wurde von derselben Zertifizierungsstelle wie das Serverzertifikat ausgestellt.
Anmerkung
Ein VPN Client-Endpunkt unterstützt nur 1024-Bit- und 2048-Bit-SchlüsselgrößenRSA. Außerdem muss das Clientzertifikat das CN-Attribut im Feld „Subject“ (Betreff) enthalten.
Wenn Zertifikate, die mit dem VPN Client-Dienst verwendet werden, aktualisiert werden, sei es durch ACM automatische Rotation, manuelles Importieren eines neuen Zertifikats oder durch Metadaten-Updates in IAM Identity Center, aktualisiert der VPN Client-Dienst den VPN Client-Endpunkt automatisch mit dem neueren Zertifikat. Dieser ist ein automatisierter Vorgang, der bis zu 24 Stunden dauern kann.
