啟用相互驗證 AWS Client VPN - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

啟用相互驗證 AWS Client VPN

您可以在「用戶端 MacOS VPN 中啟用相互驗證。

Linux/macOS

下列程序使用 Open easy VPN rsa 來產生伺服器和用戶端憑證和金鑰,然後將伺服器憑證和金鑰上傳至。ACM如需詳細資訊,請參閱 Easy-RSA 3 快速入門導覽課程README

要生成服務器和客戶端證書和密鑰並將其上傳到 ACM

  1. 克隆打開易於 VPN rsa 回購到您的本地計算機並導航到該easy-rsa/easyrsa3文件夾。

    $ git clone https://github.com/OpenVPN/easy-rsa.git
    $ cd easy-rsa/easyrsa3

  2. 初始化新PKI環境。

    $ ./easyrsa init-pki

  3. 若要建置新的憑證授權機構 (CA),請執行此命令並依照提示執行。

    $ ./easyrsa build-ca nopass

  4. 產生伺服器憑證和金鑰。

    $ ./easyrsa --san=DNS:server build-server-full server nopass

  5. 產生用戶端憑證和金鑰。

    務必儲存用戶端憑證和用戶端私有金鑰,因為您在設定用戶端時需要它們。

    $ ./easyrsa build-client-full client1.domain.tld nopass

    您可以選擇性地為每個需要用戶端憑證和金鑰的用戶端 (終端使用者) 重複此步驟。

  6. 將伺服器憑證和金鑰及用戶端憑證和金鑰複製到自訂資料夾,然後導覽到自訂資料夾。

    複製憑證和金鑰之前,請使用 mkdir 命令建立自訂資料夾。下列範例會在您的主目錄中建立自訂資料夾。

    $ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/

  7. 將伺服器憑證和金鑰以及用戶端憑證和金鑰上傳至ACM。請務必將它們上傳到您打算建立用戶VPN端端點的相同區域。下列命令使用 AWS CLI 上傳憑證。若要改用ACM主控台上傳憑證,請參閱使用AWS Certificate Manager 者指南中的匯入憑證。

    $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
    $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt

    您不一定需要將用戶端憑證上傳到ACM。如果伺服器和用戶端憑證是由相同的憑證授權單位 (CA) 發行的,您可以在建立 Client 端點時同時ARN針對伺服器和用戶VPN端使用伺服器憑證。在上述步驟中,已使用相同的 CA 來建立這兩個憑證。然而,系統為了完整性,會包含上傳用戶端憑證的步驟。

Windows

下列程序會安裝 Easy-RSA 3.x 軟體,並使用它來產生伺服器和用戶端憑證和金鑰。

生成服務器和客戶端證書和密鑰並將其上傳到 ACM

  1. 開啟簡易RSA版本頁面,並下載適用於您 Windows 版本的ZIP檔案並將其解壓縮。

  2. 開啟命令提示,然後導覽至 EasyRSA-3.x 資料夾被擷取到的位置。

  3. 執行下列命令以開啟簡易 RSA 3 殼層。

    C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat

  4. 初始化新PKI環境。

    # ./easyrsa init-pki

  5. 若要建置新的憑證授權機構 (CA),請執行此命令並依照提示執行。

    # ./easyrsa build-ca nopass

  6. 產生伺服器憑證和金鑰。

    # ./easyrsa --san=DNS:server build-server-full server nopass

  7. 產生用戶端憑證和金鑰。

    # ./easyrsa build-client-full client1.domain.tld nopass

    您可以選擇性地為每個需要用戶端憑證和金鑰的用戶端 (終端使用者) 重複此步驟。

  8. 退出簡易 RSA 3 外殼。

    # exit

  9. 將伺服器憑證和金鑰及用戶端憑證和金鑰複製到自訂資料夾,然後導覽到自訂資料夾。

    複製憑證和金鑰之前,請使用 mkdir 命令建立自訂資料夾。下列範例會在您的 C:\ 磁碟機中建立自訂資料夾。

    C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

  10. 將伺服器憑證和金鑰以及用戶端憑證和金鑰上傳至ACM。請務必將它們上傳到您打算建立用戶VPN端端點的相同區域。下列命令使用 AWS CLI 來上傳憑證。若要改用ACM主控台上傳憑證,請參閱使用AWS Certificate Manager 者指南中的匯入憑證。

    aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
    aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt

    您不一定需要將用戶端憑證上傳到ACM。如果伺服器和用戶端憑證是由相同的憑證授權單位 (CA) 發行的,您可以在建立 Client 端點時同時ARN針對伺服器和用戶VPN端使用伺服器憑證。在上述步驟中,已使用相同的 CA 來建立這兩個憑證。然而,系統為了完整性,會包含上傳用戶端憑證的步驟。