동일한 클라이언트 VPN 엔드포인트를 사용하도록 여러 사용자를 구성하려면 어떻게 해야 합니까?

간략한 설명

이 문서에서는 다음 명령을 사용하여 클라이언트측 인증서를 생성하는 방법을 보여 줍니다.

./easyrsa build-client-full client1.domain.tld nopass

자체 서버측 인증서를 생성하고 해당 인증서를 AWS Certificate Manager에 업로드하는 방법에 대한 자세한 내용은 AWS Client VPN 안내서의 상호 인증을 참조하세요.

해결 방법

참고: client1.domain.tld는 다음 명령에서 사용되는 자리 표시자 이름입니다. 자체 클라이언트 도메인 이름으로 바꿉니다. 고유한 클라이언트측 인증서가 필요한 각 사용자에 대해 필요한 만큼 이 명령을 실행할 수 있습니다.

1.    클라이언트 VPN 엔드포인트를 생성합니다.

2.    각 사용자에 대해 고유한 클라이언트측 인증서를 생성합니다. 다음 예에서는 User1과 User2의 두 사용자를 보여 줍니다. 필요에 따라 고유 사용자로 바꿉니다.

$ ./easyrsa build-client-full user1.example.com nopass
            
$ ./easyrsa build-client-full user2.example.com nopass

3.    모든 사용자가 클라이언트측 Client VPN 구성 파일을 업데이트할 수 있도록 인증서 파일(".crt")의 내용을 검색합니다.

sudo cat user1.exmaple.com.crt
            
sudo cat user2.example.com.crt

4.    모든 사용자가 클라이언트측 Client VPN 구성 파일을 업데이트할 수 있도록 키 파일(".key")의 내용을 검색합니다.

sudo cat user1.example.com.key
            
sudo cat user2.example.com.key

5.    .crt 및 .key 파일의 원시 콘텐츠를 Client VPN 구성 파일의 각 사용자에 추가합니다. 사용자는 이 파일을 로컬에 저장합니다. Client VPN 구성 파일 내의 </ca> 줄 바로 뒤에 오는 <cert></cert> 및 <key></key> 식별자를 사용합니다. 또는 다음 예와 같이 .crt 및 .key 파일 경로를 지정합니다.
참고: username을 클라이언트의 사용자 이름으로 바꿉니다. .crt 및 .key 파일이 /Users/username/Downloads 이외의 위치에 있는 경우 경로를 적절히 변경합니다.

cert /Users/username/Downloads/*.crt
    
key /Users/username/Downloads/*.key

6.    구성 파일을 저장한 다음 각 사용자에게 파일을 제공합니다. 그런 다음 사용자는 파일을 사용하여 Client VPN 엔드포인트에 연결합니다.

7.    클라이언트 VPN 엔드포인트에 연결한 후 다음을 수행합니다.

Amazon Virtual Private Cloud(VPC) 콘솔을 엽니다.

[Client VPN Endpoints(클라이언트 VPN 엔드포인트)]를 선택합니다.

클라이언트 VPN 엔드포인트를 선택합니다.

[연결(Connections)] 탭을 선택한 다음 [일반 이름(Common Name)]을 선택합니다. 탭에 표시되는 TLD 인증서로, 각 사용자의 이름으로 시작합니다.

8.    (선택 사항) 특정 클라이언트 인증서에 대한 액세스를 차단하거나 취소하려면 클라이언트 인증서 취소 목록(CRL)을 구성합니다. 클라이언트의 인증서를 취소 목록(CRL)에 추가하면 클라이언트 VPN 엔드포인트에 대한 클라이언트의 액세스가 취소됩니다.