本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
双向认证 AWS Client VPN
通过相互身份验证,客户端VPN使用证书在客户端和服务器之间进行身份验证。证书是由证书颁发机构 (CA) 颁发的数字化身份。当客户端尝试连接到客户端VPN端点时,服务器使用客户端证书对它们进行身份验证。您必须创建服务器证书和密钥,以及至少一个客户端证书和密钥。
必须将服务器证书上传到 AWS Certificate Manager (ACM),并在创建客户端VPN端点时指定该证书。将服务器证书上传到时ACM,还需要指定证书颁发机构 (CA)。只有当客户端证书的 CA 与服务器证书的 CA 不同ACM时,才需要将客户端证书上传到。有关的更多信息ACM,请参阅《AWS Certificate Manager 用户指南》。
您可以为将连接到客户端VPN终端节点的每个客户端创建单独的客户端证书和密钥。这使您能够在用户退出组织时撤销特定的客户端证书。在这种情况下,在创建客户端VPN端点时,您可以ARN为客户端证书指定服务器证书,前提是该客户端证书是由与服务器证书相同的 CA 颁发的。
注意
客户端VPN端点仅支持 1024 位和 2048 RSA 位密钥大小。此外,客户端证书的“主题”字段中必须具有 CN 属性。
当用于客户端VPN服务的证书更新时,无论是通过ACM自动轮换、手动导入新证书,还是通过元数据更新到 Ident IAM ity Center,客户端VPN服务都将使用较新的证书自动更新客户端VPN终端节点。这一自动执行的过程可能需要长达 24 小时才能完成。
