複数のユーザーを設定して、同じ Client VPN エンドポイントを使用するにはどうすればよいですか?

所要時間1分
0

複数のユーザーを設定して、同じ AWS Client VPN エンドポイントを使用することを考えています。どのユーザーが現在エンドポイントに接続しているかを特定し、必要なアクセス権を正しいユーザーに変更できるようにする必要があります。これを行うにはどうすればよいですか?

簡単な説明

この記事では、次のコマンドを使用してクライアント側の証明書を生成する方法を説明します。

./easyrsa build-client-full client1.domain.tld nopass

独自のサーバー側の証明書を作成し、それらの証明書を AWS Certificate Manager にアップロードする方法の詳細については、「AWS Client VPN ガイド」の「相互認証」を参照してください。

解決方法

注: client1.domain.tld は、次のコマンドで使用されるプレースホルダー名です。独自のクライアントドメイン名に置き換えます。このコマンドは、独自のクライアント側の証明書を必要とする各ユーザーについて、必要な回数だけ実行できます。

1.    クライアント VPN エンドポイントを作成する

2.    各ユーザーのために、一意のクライアント側の証明書を生成します。次の例は、User1User2 の 2 人のユーザーを示しています。必要に応じて一意のユーザーに置き換えます。

$ ./easyrsa build-client-full user1.example.com nopass
            
$ ./easyrsa build-client-full user2.example.com nopass

3.    すべてのユーザーの証明書 (「.crt」) ファイルの内容を取得して、クライアント側の Client VPN 設定ファイルを更新します。

sudo cat user1.exmaple.com.crt
            
sudo cat user2.example.com.crt

4.    すべてのユーザーのキー (「.key」) ファイルの内容を取得して、クライアント側の Client VPN 設定ファイルを更新します。

sudo cat user1.example.com.key
            
sudo cat user2.example.com.key

5.    .crt ファイルと .key ファイルの raw コンテンツを、Client VPN 設定ファイルの各ユーザーに追加します。ユーザーはこのファイルをローカルに保存します。Client VPN 設定ファイル内の </ca> 行のすぐ後にある <cert></cert> と <key></key> 識別子を使用します。または、次の例に示すように、.crt および .key ファイルパスを指定します。
: username をクライアントのユーザー名に置き換えてください。.crt および .key ファイルが /Users/username/Downloads にない場合は、パスを適切に変更してください。

cert /Users/username/Downloads/*.crt
    
key /Users/username/Downloads/*.key

6.    設定ファイルを保存し、ファイルを各ユーザーに提供します。その後、ユーザーはそのファイルを使用して Client VPN エンドポイントに接続します。

7.    Client VPN エンドポイントへの接続後:

Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。

[Client VPN Endpoints] をクリックします。

[Client VPN endpoint] (クライアント VPN エンドポイント) をクリックします。

[Connections] (接続) タブを選択してから、[Common Name] (共通名) を選択します。各ユーザーの名前で始まる TLD 証明書がタブに表示されます。

8.    (オプション) 特定のクライアント証明書へのアクセスをブロックまたは取り消すには、クライアント証明書失効リスト (CRL) を設定します。クライアントの証明書を失効リスト (CRL) に追加すると、クライアント VPN エンドポイントへのクライアントのアクセスが無効になります。


コメントはありません

関連するコンテンツ