本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的相互認證 AWS Client VPN
透過相互驗證,Client VPN 會使用憑證在用戶端與伺服器之間執行驗證。憑證為憑證授權機構 (CA) 發出的數位形式身分證明。當用戶端嘗試連線到 Client 端點時,伺服器會使用用戶端憑證來驗證用戶VPN端。您必須建立伺服器憑證和金鑰,以及至少一個用戶端憑證和金鑰。
您必須將伺服器憑證上傳至 AWS Certificate Manager (ACM),並在建立用戶VPN端端點時指定憑證。當您將伺服器憑證上傳至時ACM,您也會指定憑證授權單位 (CA)。只有當用戶端憑證的 CA 與伺服器憑證的 CA 不同ACM時,您才需要將用戶端憑證上傳至。若要取得有關的更多資訊ACM,請參閱AWS Certificate Manager 使用者指南。
您可以為每個要連線到 Client 端點的用戶端建立個別的用戶VPN端憑證和金鑰。這可讓您在使用者離開您的組織時撤銷特定的用戶端憑證。在此情況下,當您建立 Client VPN 端點時,您可以指定用戶端憑證ARN的伺服器憑證,前提是用戶端憑證已由與伺服器憑證相同的 CA 發行。
注意
用戶VPN端端點僅支援 1024 位元和 2048 位元金RSA鑰大小。此外,用戶端憑證必須在「主旨」欄位中具有 CN 屬性。
當與用戶端VPN服務搭配使用的憑證更新時,無論是透過ACM自動循環、手動匯入新憑證,還是將中繼資料更新至 IAM Identity Center,用戶端VPN服務都會使用較新的憑證自動更新用戶VPN端端點。此自動化程序最多可能需要 24 小時。
