Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activez l'authentification mutuelle pour AWS Client VPN
Vous pouvez activer l'authentification mutuelle dans le client VPN sous Linux/macOS ou Windows.
- Linux/macOS
-
La procédure suivante utilise Open VPN easy-rsa pour générer les certificats et clés du serveur et du client, puis télécharge le certificat et la clé du serveur vers. ACM Pour plus d'informations, consultez le guide de démarrage rapide RSA README Easy3
. Pour générer les certificats et clés du serveur et du client et les télécharger sur ACM
-
Clonez le dépôt Open VPN easy-rsa sur votre ordinateur local et accédez au dossier.
easy-rsa/easyrsa3
$
git clone https://github.com/OpenVPN/easy-rsa.git$
cd easy-rsa/easyrsa3 -
Initialisez un nouvel PKI environnement.
$
./easyrsa init-pki -
Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.
$
./easyrsa build-ca nopass -
Générez le certificat et la clé du serveur.
$
./easyrsa --san=DNS:server build-server-full server nopass -
Générez le certificat et la clé du client.
Assurez-vous de conserver le certificat du client et la clé privée du client, car vous en aurez besoin pour configurer le client.
$
./easyrsa build-client-full client1.domain.tld nopassVous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat et une clé client.
-
Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.
Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de
mkdir
la commande . L'exemple suivant crée un dossier personnalisé dans votre répertoire personnel.$
mkdir ~/custom_folder
/$
cp pki/ca.crt ~/custom_folder
/$
cp pki/issued/server.crt ~/custom_folder
/$
cp pki/private/server.key ~/custom_folder
/$
cp pki/issued/client1.domain.tld.crt ~/custom_folder
$
cp pki/private/client1.domain.tld.key ~/custom_folder
/$
cd ~/custom_folder
/ -
Téléchargez le certificat et la clé du serveur, ainsi que le certificat et la clé du client surACM. Assurez-vous de les télécharger dans la même région que celle dans laquelle vous souhaitez créer le point de VPN terminaison client. Les commandes suivantes utilisent AWS CLI pour charger les certificats. Pour télécharger les certificats à l'aide de la ACM console, voir Importer un certificat dans le guide de AWS Certificate Manager l'utilisateur.
$
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt$
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crtIl n'est pas nécessaire de télécharger le certificat client surACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser le certificat de serveur à la fois ARN pour le serveur et pour le client lorsque vous créez le point de VPN terminaison client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.
-
- Windows
-
La procédure suivante installe le logiciel RSA Eas-3.x et l'utilise pour générer des certificats et des clés de serveur et de client.
Pour générer des certificats et des clés de serveur et de client et les télécharger sur ACM
-
Ouvrez la page Easy RSA releases
, téléchargez le ZIP fichier correspondant à votre version de Windows et extrayez-le. -
Ouvrez une invite de commande et accédez à l'emplacement dans lequel le dossier
EasyRSA-3.x
a été extrait. Exécutez la commande suivante pour ouvrir le shell Easy RSA 3.
C:\Program Files\EasyRSA-3.x>
.\EasyRSA-Start.bat-
Initialisez un nouvel PKI environnement.
#
./easyrsa init-pki -
Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.
#
./easyrsa build-ca nopass -
Générez le certificat et la clé du serveur.
#
./easyrsa --san=DNS:server build-server-full server nopass -
Générez le certificat et la clé du client.
#
./easyrsa build-client-full client1.domain.tld nopassVous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat client et une clé.
-
Sortez de la coque Easy RSA 3.
#
exit -
Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.
Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de la commande
mkdir
. L'exemple suivant crée un dossier personnalisé sur votre unité C:\.C:\Program Files\EasyRSA-3.x>
mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x>
cd C:\custom_folder
-
Téléchargez le certificat et la clé du serveur, ainsi que le certificat et la clé du client surACM. Assurez-vous de les télécharger dans la même région que celle dans laquelle vous souhaitez créer le point de VPN terminaison client. Les commandes suivantes utilisent le AWS CLI pour télécharger les certificats. Pour télécharger les certificats à l'aide de la ACM console, voir Importer un certificat dans le guide de AWS Certificate Manager l'utilisateur.
aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt
aws acm import-certificate \ --certificate fileb://client1.domain.tld.crt \ --private-key fileb://client1.domain.tld.key \ --certificate-chain fileb://ca.crt
Il n'est pas nécessaire de télécharger le certificat client surACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser le certificat de serveur à la fois ARN pour le serveur et pour le client lorsque vous créez le point de VPN terminaison client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.
-