AWS Certificate Manager (ACM) による相互認証用のプライベート証明書を使用して AWS Client VPN エンドポイントを作成および接続したいと考えています。これを行うにはどうすればよいですか?
簡単な説明
Client VPN では、クライアント認証を設定するためのオプションがいくつかあります。これらのオプションの 1 つは、 相互認証で、証明書ベースの認証の一種です。これらの証明書は、自己署名または ACM を使用して生成できます。ACM および AWS Certificate Manager プライベート認証局を使用してプライベートデジタル証明書を作成するには、以下のステップを実行します。
解決方法
1. ACM を使用して、プライベート CA を作成します。必要に応じて、下位 CA を作成することもできます(オプション)。
2. 前のステップで作成したプライベート CA を使用して、サーバーとクライアントのプライベート証明書を生成します。
3. 前のステップで作成した証明書を使用して、AWS Client VPN エンドポイントを作成します。
4. ステップ 2 で作成したクライアント証明書をエクスポートします。パスフレーズの入力を求められたら、クライアント証明書本文、証明書チェーン、および証明書プライベートキーを受け取ります。
5. ステップ 4 で指定したパスフレーズでプライベートキーを復号化します。OpenSSL ライブラリで次のコマンドを実行すると、プライベートキーを復号化できます。
[ec2-user@ip-172-20-20-14 ~]$ openssl rsa -in private_key.txt -out decrypted_private_key.txt
Enter pass phrase for private_key.txt: YOUR_PASSPHRASE
writing RSA key
注: YOUR_PASSPHRASE は必ずカスタムパスフレーズに置き換えてください。
6. Client VPN エンドポイント設定ファイルのダウンロードと準備を行います。設定ファイルの準備に必要なクライアント証明書とキーの値は、前のステップでエクスポートしたクライアント証明書に記載されています。
7. ステップ 5 で、復号化されたプライベートキーから decrypted_private_key.txt ファイルを見つけます。このファイルの内容とクライアント証明書の本文の内容を、クライアント VPN 設定ファイルに追加します。
8. クライアント設定ファイルをエクスポートして設定します。
9. OpenVPN ベースまたは AWS Client VPN デスクトップアプリケーションを使用して、Client VPN エンドポイントに接続します。