Abilita l'autenticazione reciproca per AWS Client VPN

È possibile abilitare l'autenticazione reciproca in Client VPN in Linux/macOS o Windows.

Linux/macOS

La procedura seguente utilizza Open VPN easy-rsa per generare i certificati e le chiavi del server e del client, quindi carica il certificato e la chiave del server su. ACM Per ulteriori informazioni, vedere Easy - 3 Quickstart. RSA README

Per generare i certificati e le chiavi del server e del client e caricarli su ACM

Clona il repository Open VPN easy-rsa sul tuo computer locale e vai alla cartella. easy-rsa/easyrsa3
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
Inizializza un nuovo ambiente. PKI
```
$ ./easyrsa init-pki
```
Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.
```
$ ./easyrsa build-ca nopass
```

Generare il certificato e la chiave server.


$ ./easyrsa --san=DNS:server build-server-full server nopass

Generare il certificato e la chiave client.

Salvare il certificato e la chiave privata client perché saranno necessari quando si configura il client.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.
Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando mkdir. Nell'esempio seguente viene creata una cartella personalizzata nella directory home.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
Carica il certificato e la chiave del server e il certificato e la chiave del client suACM. Assicurati di caricarli nella stessa regione in cui intendi creare l'VPNendpoint Client. I seguenti comandi utilizzano l'interfaccia a riga di comando di AWS CLI per caricare i certificati. Per caricare invece i certificati utilizzando la ACM console, consulta Importare un certificato nella Guida per l'AWS Certificate Manager utente.
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
Non è necessario caricare necessariamente il certificato client suACM. Se i certificati server e client sono stati emessi dalla stessa Autorità di Certificazione (CA), puoi utilizzare il certificato server sia ARN per il server che per il client quando crei l'VPNendpoint Client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

Windows

La procedura seguente installa il software RSA Easy-3.x e lo utilizza per generare certificati e chiavi per server e client.

Per generare certificati e chiavi server e client e caricarli su ACM

Apri la pagina Easy RSA releases e scarica il ZIP file per la tua versione di Windows ed estrailo.
Apri un prompt dei comandi e passa alla posizione in cui è stata estratta la cartella EasyRSA-3.x.
Esegui il seguente comando per aprire la shell Easy RSA 3.
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
Inizializza un nuovo PKI ambiente.
```
# ./easyrsa init-pki
```
Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.
```
# ./easyrsa build-ca nopass
```

Generare il certificato e la chiave server.


# ./easyrsa --san=DNS:server build-server-full server nopass

Generare il certificato e la chiave client.
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.
Uscire dalla shell Easy RSA 3.
```
# exit
```

Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando mkdir. Nell'esempio seguente viene creata una cartella personalizzata nell'unità C:\.


C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

Carica il certificato e la chiave del server e il certificato e la chiave del client suACM. Assicurati di caricarli nella stessa regione in cui intendi creare l'VPNendpoint Client. I seguenti comandi utilizzano AWS CLI per caricare i certificati. Per caricare invece i certificati utilizzando la ACM console, consulta Importare un certificato nella Guida per l'AWS Certificate Manager utente.
```
aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt
```
Non è necessario caricare necessariamente il certificato client suACM. Se i certificati server e client sono stati emessi dalla stessa Autorità di Certificazione (CA), puoi utilizzare il certificato server sia ARN per il server che per il client quando crei l'VPNendpoint Client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autenticazione reciproca

Rinnova il certificato del tuo server