Wie kann ich mehrere Benutzer so konfigurieren, dass sie denselben Client-VPN-Endpunkt verwenden?

Kurzbeschreibung

In diesem Artikel erfahren Sie, wie Sie mit dem folgenden Befehl ein clientseitiges Zertifikat generieren:

./easyrsa build-client-full client1.domain.tld nopass

Weitere Informationen zum Erstellen Ihres eigenen serverseitigen Zertifikats und zum Hochladen dieser Zertifikate in AWS Certificate Manager finden Sie unter Gegenseitige Authentifizierung im AWS-Client-VPN-Leitfaden.

Behebung

Hinweis: client1.domain.tld ist ein Platzhaltername, der in den folgenden Befehlen verwendet wird. Ersetzen Sie es durch Ihren eigenen Kunden-Domainnamen. Sie können diesen Befehl so oft wie nötig für jeden Benutzer ausführen, der sein eigenes eindeutiges clientseitiges Zertifikat benötigt.

1.    Erstellen Sie einen Client-VPN-Endpunkt.

2.    Generieren Sie für jeden Benutzer eindeutige clientseitige Zertifikate. Das folgende Beispiel zeigt zwei Benutzer, Benutzer1 und Benutzer2. Ersetzen Sie es nach Bedarf durch Ihre individuellen Benutzer.

$ ./easyrsa build-client-full user1.example.com nopass

$ ./easyrsa build-client-full user2.example.com nopass

3.    Rufen Sie den Inhalt der Zertifikatsdateien („.crt“) für alle Benutzer ab, um die clientseitige Client-VPN-Konfigurationsdatei zu aktualisieren:

sudo cat user1.exmaple.com.crt

sudo cat user2.example.com.crt

4.    Rufen Sie den Inhalt der Schlüsseldateien („.key“) für alle Benutzer ab, um die clientseitige Client-VPN-Konfigurationsdatei zu aktualisieren:

sudo cat user1.example.com.key

sudo cat user2.example.com.key

5.    Fügen Sie den Rohinhalt der .crt- und .key-Dateien für jeden Benutzer in den Client-VPN-Konfigurationsdateien hinzu. Benutzer speichern diese Datei lokal. Benutze das **<cert></cert>**und <key></key> Identifikatoren, die direkt auf das ** folgen</ca>**Zeile in der Client-VPN-Konfigurationsdatei. Oder geben Sie die .crt und .key, wie im folgenden Beispiel gezeigt.
Hinweis: Ersetzen Sie den Benutzernamen durch den Benutzernamen Ihres Kunden. Wenn sich die Dateien .crt und .key nicht in /Users/Benutzername/Downloads befinden, ändern Sie den Pfad entsprechend.

cert /Users/username/Downloads/*.crt

key /Users/username/Downloads/*.key

6.    Speichern Sie die Konfigurationsdateien und stellen Sie die Dateien dann jedem Benutzer zur Verfügung. Benutzer verwenden dann die Dateien, um eine Verbindung zum Client-VPN-Endpunkt herzustellen.

7.    Nachdem Sie eine Verbindung zum Client-VPN-Endpunkt hergestellt haben:

Öffnen Sie die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.

Wählen Sie Client VPN Endpunkte.

Wählen Sie den Client-VPN-Endpunkt.

Wählen Sie die Registerkarte Verbindungen und dann Common Name. Die TLD-Zertifikate, die auf der Registerkarte angezeigt werden und mit dem Namen der einzelnen Benutzer beginnen.

8.    (Optional) Konfigurieren Sie Client-Zertifikatssperrlisten (CRLs), um den Zugriff auf bestimmte Client-Zertifikate zu blockieren oder zu sperren. Wenn Sie ein Client-Zertifikat zu einer Sperrliste (CRL) hinzufügen, wird der Zugriff des Clients auf den Client-VPN-Endpunkt gesperrt.