Comment créer et me connecter à un point de terminaison Client VPN à l'aide de certificats privés pour une authentification mutuelle avec AWS Certificate Manager ?

Brève description

Client VPN offre plusieurs options pour configurer l'authentification client. L'une de ces options est l'authentification mutuelle, qui est un type d'authentification basée sur un certificat. Ces certificats peuvent être auto-signés ou générés à l'aide d'ACM. Pour créer des certificats numériques privés à l'aide de l'autorité de certification privée d'AWS Certificate Manager et d'ACM, procédez comme suit.

Solution

1.    À l'aide d'ACM, créez une autorité de certification privée. Si nécessaire, vous pouvez également créer une autorité de certification subordonnée (facultatif).

2.    À l'aide de l'autorité de certification privée que vous avez créée à l'étape précédente, générez des certificats privés pour votre serveur et votre client.

3.    À l'aide des certificats créés à l'étape précédente, créez un point de terminaison AWS Client VPN.

4.    Exportez le certificat client que vous avez créé à l'étape 2. Une fois que vous êtes invité à entrer une phrase secrète, vous recevez un corps de certificat client, une chaîne de certificats et une clé privée de certificat.

5.    Déchiffrez la clé privée à l'aide de la phrase de passe que vous avez spécifiée à l'étape 4. Vous pouvez déchiffrer la clé privée en exécutant la commande suivante dans les bibliothèques OpenSSL :

[ec2-user@ip-172-20-20-14 ~]$ openssl rsa -in private_key.txt -out decrypted_private_key.txt
Enter pass phrase for private_key.txt: YOUR_PASSPHRASE

writing RSA key

Remarque : veillez à remplacer YOUR_PASSPHRASE par votre phrase de passe personnalisée.

6.    Téléchargez et préparez le fichier de configuration du point de terminaison Client VPN. Les valeurs clés et le certificat client nécessaires à la préparation du fichier de configuration sont fournis dans le certificat client que vous avez exporté à l'étape précédente.

7.    Recherchez le fichier decrypted_private_key.txt à partir de votre clé privée déchiffrée à l'étape 5. Ajoutez le contenu de ce fichier ainsi que le contenu du corps du certificat client au fichier de configuration VPN client.

8.    Exportez et configurez le fichier de configuration du client.

9.    Connectez-vous au point de terminaison du Client VPN en utilisant n'importe quelle application basée sur OpenVPN ou l'application de bureau AWS Client VPN.