如何使用私有憑證與 AWS Certificate Manager 建立並連接到 Client VPN 端點，以進行相互驗證？

簡短描述

使用用戶端 VPN 時，有幾個用於設定用戶端驗證的選項。其中一個選項是相互驗證，這是一種憑證型驗證類型。這些憑證可以自我簽署或使用 ACM 產生。若要使用 ACM 和 AWS Certificate Manager 私有憑證授權單位建立私有數位憑證，請完成以下步驟。

解決方法

1.    使用 ACM 建立私有 CA 。如果需要，您也可以建立從屬 CA (選擇性)。

2.    使用您在上一個步驟中建立的私有 CA，為您的伺服器和用戶端產生私有憑證。

3.    使用在上一個步驟中建立的憑證，建立 AWS 用戶端 VPN 端點。

4.    匯出您在步驟 2 中建立的用戶端憑證。系統提示您輸入密碼後，您會收到用戶端憑證主體、憑證連結和憑證私密金鑰。

5.    使用您在步驟 4 中指定的複雜密碼來解密私密金鑰。您可以在 OpenSSL 程式庫中執行下列命令來解密私密金鑰：

[ec2-user@ip-172-20-20-14 ~]$ openssl rsa -in private_key.txt -out decrypted_private_key.txt
Enter pass phrase for private_key.txt: YOUR_PASSPHRASE

writing RSA key

**注意：**請務必使用您的自訂複雜密碼取代 YOUR_PASSPHRASE。

6.    下載並準備用戶端 VPN 端點設定檔。準備組態檔所需的用戶端憑證和金鑰值會在上一個步驟匯出的用戶端憑證中提供。

7.    從步驟 5 的解密私密金鑰中，找到 decrypted_private_key.txt 檔案。將此檔案的內容與用戶端憑證主體的內容一起新增至 Client VPN 組態檔。

8.    匯出並設定用戶端組態檔案。

9.    使用任何以 OpenVPN 為基礎或 AWS Client VPN 桌面應用程式連線到用戶端 VPN 端點。

---