如何將多個使用者設定為使用相同的 Client VPN 端點？

簡短描述

本文說明如何使用下列命令產生用戶端憑證：

./easyrsa build-client-full client1.domain.tld nopass

如需建立自己的伺服器端憑證，以及將那些憑證上傳到 AWS Certificate Manager 的詳細資訊，請參閱 AWS Client VPN 指南中的相互身分驗證 。

解決方法

注意 client1.domain.tld 是下列命令中使用的預留位置名稱。以您自己的用戶端網域名稱替換。對於每個需要唯一用戶端憑證的使用者，您可以視需要多次執行此命令。

1.    建立 Client VPN 端點。

2.    為每個使用者產生唯一的用戶端憑證。以下範例顯示兩個使用者：User1 和 User2。視需要替換為唯一的使用者。

$ ./easyrsa build-client-full user1.example.com nopass

$ ./easyrsa build-client-full user2.example.com nopass

3.    擷取所有使用者的憑證 (「.crt」) 檔案內容，以更新用戶端 Client VPN 組態檔案：

sudo cat user1.exmaple.com.crt

sudo cat user2.example.com.crt

4.    擷取所有使用者的金鑰 (「.key」) 檔案內容，以更新用戶端 Client VPN 組態檔案：

sudo cat user1.example.com.key

sudo cat user2.example.com.key

5.    將 .crt 和 .key 檔案的原始內容新增至 Client VPN 組態檔案中的每個使用者。使用者將此檔案儲存在本機。使用 <cert></cert> 和 <key></key>緊接在 ** 之後的 識別碼</ca>** 在 Client VPN 組態檔案中的行。或者，如下列範例所示，指定 .crt 和 .key 檔案路徑。
注意： 使用用戶端的使用者名稱替換 username。如果 /Users/username/Downloads 中沒有 .crt 和 .key 檔案，請據以變更路徑。

cert /Users/username/Downloads/*.crt

key /Users/username/Downloads/*.key

6.    儲存組態檔案，然後將檔案提供給每個使用者。然後，使用者會使用這些檔案來連線到 Client VPN 端點。

7.    連線至 Client VPN 端點之後：

開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台。

選擇 「用戶端 VPN 端點」。

選取用戶端 VPN 端點。

選擇「 連線 」索引標籤，然後選擇「 通用名稱」。索引標籤上顯示的 TLD 憑證，開頭為每個使用者的名稱。

8.    (選擇性) 設定用戶端憑證撤銷清單 (CRL) 以封鎖或撤銷對特定用戶端憑證的存取權。將用戶端的憑證新增至撤銷清單 (CRL)，會撤銷該用戶端對 Client VPN 端點的存取權。