我想使用私有证书创建并连接到 AWS Client VPN 端点,以便使用 AWS Certificate Manager (ACM) 进行双向身份验证。该如何操作?
简短描述
使用 Client VPN 时,可以通过几个选项配置客户端身份验证。其中一个选项是双向身份验证,这是一种基于证书的身份验证方式。证书可以是自签名的,也可以使用 ACM 生成。要使用 ACM 和 AWS Certificate Manager 私有证书颁发机构创建私有数字证书,请完成以下步骤。
解决方法
1. 使用 ACM 创建一个私有 CA。如有需要,您还可以创建从属 CA(可选)。
2. 使用您在上一步中创建的私有 CA,为服务器和客户端生成私有证书。
3. 使用在上一步中创建的证书,创建一个 AWS Client VPN 端点。
4. 导出您在步骤 2 中创建的客户端证书。系统提示您输入密码后,您将收到客户端证书正文、证书链和证书密钥。
5. 使用您在步骤 4 中指定的密码解密密钥。您可以通过在 OpenSSL 库中运行以下命令来解密密钥:
[ec2-user@ip-172-20-20-14 ~]$ openssl rsa -in private_key.txt -out decrypted_private_key.txt
Enter pass phrase for private_key.txt: YOUR_PASSPHRASE
writing RSA key
**注意:**请务必将 YOUR_PASSPHRASE 替换为您的自定义密码短语。
6. 下载并准备 Clinet VPN 端点配置文件。准备配置文件所需的客户端证书和密钥值在上一步中导出的客户端证书中提供。
7. 在第 5 步中从解密的密钥中找到 decrypted_private_key.txt 文件。将此文件的内容以及客户端证书正文的内容添加到客户端 VPN 配置文件中。
8. 导出并配置客户端配置文件。
9. 使用任何基于 OpenVPN 的应用程序或 AWS Client VPN 桌面应用程序连接到 Client VPN 端点。