동일한 AWS Client VPN 엔드포인트를 사용하도록 여러 사용자를 구성하려고 합니다. 필요한 경우 적절한 사용자의 액세스를 변경할 수 있도록 현재 엔드포인트에 연결된 사용자를 식별할 수 있어야 합니다. 이렇게 하려면 어떻게 해야 합니까?
간략한 설명
이 문서에서는 다음 명령을 사용하여 클라이언트측 인증서를 생성하는 방법을 보여 줍니다.
./easyrsa build-client-full client1.domain.tld nopass
자체 서버측 인증서를 생성하고 해당 인증서를 AWS Certificate Manager에 업로드하는 방법에 대한 자세한 내용은 AWS Client VPN 안내서의 상호 인증을 참조하세요.
해결 방법
참고: client1.domain.tld는 다음 명령에서 사용되는 자리 표시자 이름입니다. 자체 클라이언트 도메인 이름으로 바꿉니다. 고유한 클라이언트측 인증서가 필요한 각 사용자에 대해 필요한 만큼 이 명령을 실행할 수 있습니다.
1. 클라이언트 VPN 엔드포인트를 생성합니다.
2. 각 사용자에 대해 고유한 클라이언트측 인증서를 생성합니다. 다음 예에서는 User1과 User2의 두 사용자를 보여 줍니다. 필요에 따라 고유 사용자로 바꿉니다.
$ ./easyrsa build-client-full user1.example.com nopass
$ ./easyrsa build-client-full user2.example.com nopass
3. 모든 사용자가 클라이언트측 Client VPN 구성 파일을 업데이트할 수 있도록 인증서 파일(".crt")의 내용을 검색합니다.
sudo cat user1.exmaple.com.crt
sudo cat user2.example.com.crt
4. 모든 사용자가 클라이언트측 Client VPN 구성 파일을 업데이트할 수 있도록 키 파일(".key")의 내용을 검색합니다.
sudo cat user1.example.com.key
sudo cat user2.example.com.key
5. .crt 및 .key 파일의 원시 콘텐츠를 Client VPN 구성 파일의 각 사용자에 추가합니다. 사용자는 이 파일을 로컬에 저장합니다. Client VPN 구성 파일 내의 </ca> 줄 바로 뒤에 오는 <cert></cert> 및 <key></key> 식별자를 사용합니다. 또는 다음 예와 같이 .crt 및 .key 파일 경로를 지정합니다.
참고: username을 클라이언트의 사용자 이름으로 바꿉니다. .crt 및 .key 파일이 /Users/username/Downloads 이외의 위치에 있는 경우 경로를 적절히 변경합니다.
cert /Users/username/Downloads/*.crt
key /Users/username/Downloads/*.key
6. 구성 파일을 저장한 다음 각 사용자에게 파일을 제공합니다. 그런 다음 사용자는 파일을 사용하여 Client VPN 엔드포인트에 연결합니다.
7. 클라이언트 VPN 엔드포인트에 연결한 후 다음을 수행합니다.
Amazon Virtual Private Cloud(VPC) 콘솔을 엽니다.
[Client VPN Endpoints(클라이언트 VPN 엔드포인트)]를 선택합니다.
클라이언트 VPN 엔드포인트를 선택합니다.
[연결(Connections)] 탭을 선택한 다음 [일반 이름(Common Name)]을 선택합니다. 탭에 표시되는 TLD 인증서로, 각 사용자의 이름으로 시작합니다.
8. (선택 사항) 특정 클라이언트 인증서에 대한 액세스를 차단하거나 취소하려면 클라이언트 인증서 취소 목록(CRL)을 구성합니다. 클라이언트의 인증서를 취소 목록(CRL)에 추가하면 클라이언트 VPN 엔드포인트에 대한 클라이언트의 액세스가 취소됩니다.