Aktifkan otentikasi timbal balik untuk AWS Client VPN - AWS Client VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan otentikasi timbal balik untuk AWS Client VPN

Anda dapat mengaktifkan otentikasi timbal balik di Klien VPN baik di Linux/macOS atau Windows.

Linux/macOS

Prosedur berikut menggunakan Open VPN easy-rsa untuk menghasilkan sertifikat dan kunci server dan klien, dan kemudian mengunggah sertifikat server dan kunci ke. ACM Untuk informasi selengkapnya, lihat Mulai Cepat README Mudah- RSA 3.

Untuk menghasilkan sertifikat dan kunci server dan klien dan mengunggahnya ke ACM
  1. Kloning repo Open VPN easy-rsa ke komputer lokal Anda dan navigasikan ke folder. easy-rsa/easyrsa3

    $ git clone https://github.com/OpenVPN/easy-rsa.git
    $ cd easy-rsa/easyrsa3
  2. Menginisialisasi PKI lingkungan baru.

    $ ./easyrsa init-pki
  3. Untuk membangun otoritas sertifikat baru (CA), jalankan perintah ini dan ikuti petunjuknya.

    $ ./easyrsa build-ca nopass
  4. Membuat sertifikat server dan kunci.

    $ ./easyrsa --san=DNS:server build-server-full server nopass
  5. Membuat sertifikat klien dan kunci.

    Pastikan untuk menyimpan sertifikat klien dan kunci privat klien karena Anda akan membutuhkannya ketika Anda mengonfigurasi klien.

    $ ./easyrsa build-client-full client1.domain.tld nopass

    Anda dapat secara opsional mengulangi langkah ini untuk setiap klien (pengguna akhir) yang memerlukan sertifikat klien dan kunci.

  6. Salin sertifikat server dan kunci serta sertifikat klien dan kunci ke folder khusus lalu kemudian navigasikan ke folder khusus.

    Sebelum Anda menyalin sertifikat dan kunci, buat folder khusus dengan menggunakan mkdir perintah. Contoh berikut membuat folder khusus di direktori beranda Anda.

    $ mkdir ~/custom_folder/ $ cp pki/ca.crt ~/custom_folder/ $ cp pki/issued/server.crt ~/custom_folder/ $ cp pki/private/server.key ~/custom_folder/ $ cp pki/issued/client1.domain.tld.crt ~/custom_folder $ cp pki/private/client1.domain.tld.key ~/custom_folder/ $ cd ~/custom_folder/
  7. Unggah sertifikat server dan kunci serta sertifikat klien dan kunci keACM. Pastikan untuk mengunggahnya di Wilayah yang sama di mana Anda ingin membuat VPN titik akhir Klien. Perintah berikut menggunakan AWS CLI untuk mengunggah sertifikat. Untuk mengunggah sertifikat menggunakan ACM konsol, lihat Mengimpor sertifikat di Panduan AWS Certificate Manager Pengguna.

    $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
    $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

    Anda tidak perlu mengunggah sertifikat klien keACM. Jika sertifikat server dan klien telah dikeluarkan oleh Otoritas Sertifikat (CA) yang sama, Anda dapat menggunakan sertifikat server ARN untuk server dan klien saat Anda membuat VPN titik akhir Klien. Pada langkah-langkah di atas, CA yang sama telah digunakan untuk membuat kedua sertifikat. Namun, langkah-langkah untuk mengunggah sertifikat klien disertakan untuk kelengkapan.

Windows

Prosedur berikut menginstal perangkat lunak Easy- RSA 3.x dan menggunakannya untuk menghasilkan sertifikat dan kunci server dan klien.

Untuk menghasilkan sertifikat dan kunci server dan klien dan mengunggahnya ke ACM
  1. Buka halaman RSArilis Mudah dan unduh ZIP file untuk versi Windows Anda dan ekstrak.

  2. Buka prompt perintah dan arahkan ke lokasi tempat EasyRSA-3.x folder diekstraksi.

  3. Jalankan perintah berikut untuk membuka shell Easy RSA 3.

    C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
  4. Menginisialisasi PKI lingkungan baru.

    # ./easyrsa init-pki
  5. Untuk membangun otoritas sertifikat baru (CA), jalankan perintah ini dan ikuti petunjuknya.

    # ./easyrsa build-ca nopass
  6. Membuat sertifikat server dan kunci.

    # ./easyrsa --san=DNS:server build-server-full server nopass
  7. Membuat sertifikat klien dan kunci.

    # ./easyrsa build-client-full client1.domain.tld nopass

    Anda dapat secara opsional mengulangi langkah ini untuk setiap klien (pengguna akhir) yang memerlukan sertifikat klien dan kunci.

  8. Keluar dari shell Easy RSA 3.

    # exit
  9. Salin sertifikat server dan kunci serta sertifikat klien dan kunci ke folder khusus lalu kemudian navigasikan ke folder khusus.

    Sebelum Anda menyalin sertifikat dan kunci, buat folder khusus dengan menggunakan mkdir perintah. Contoh berikut membuat folder khusus di C:\ drive.

    C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder C:\Program Files\EasyRSA-3.x> cd C:\custom_folder
  10. Unggah sertifikat server dan kunci serta sertifikat klien dan kunci keACM. Pastikan untuk mengunggahnya di Wilayah yang sama di mana Anda ingin membuat VPN titik akhir Klien. Perintah berikut menggunakan AWS CLI untuk meng-upload sertifikat. Untuk mengunggah sertifikat menggunakan ACM konsol, lihat Mengimpor sertifikat di Panduan AWS Certificate Manager Pengguna.

    aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt
    aws acm import-certificate \ --certificate fileb://client1.domain.tld.crt \ --private-key fileb://client1.domain.tld.key \ --certificate-chain fileb://ca.crt

    Anda tidak perlu mengunggah sertifikat klien keACM. Jika sertifikat server dan klien telah dikeluarkan oleh Otoritas Sertifikat (CA) yang sama, Anda dapat menggunakan sertifikat server ARN untuk server dan klien saat Anda membuat VPN titik akhir Klien. Pada langkah-langkah di atas, CA yang sama telah digunakan untuk membuat kedua sertifikat. Namun, langkah-langkah untuk mengunggah sertifikat klien disertakan untuk kelengkapan.