我想要將多個使用者設定為使用相同的 AWS Client VPN 端點。我需要能夠識別目前連接到端點的是哪一個使用者,以便對正確的使用者進行任何必要的存取變更。我該如何操作?
簡短描述
本文說明如何使用下列命令產生用戶端憑證:
./easyrsa build-client-full client1.domain.tld nopass
如需建立自己的伺服器端憑證,以及將那些憑證上傳到 AWS Certificate Manager 的詳細資訊,請參閱 AWS Client VPN 指南中的相互身分驗證 。
解決方法
注意 client1.domain.tld 是下列命令中使用的預留位置名稱。以您自己的用戶端網域名稱替換。對於每個需要唯一用戶端憑證的使用者,您可以視需要多次執行此命令。
1. 建立 Client VPN 端點。
2. 為每個使用者產生唯一的用戶端憑證。以下範例顯示兩個使用者:User1 和 User2。視需要替換為唯一的使用者。
$ ./easyrsa build-client-full user1.example.com nopass
$ ./easyrsa build-client-full user2.example.com nopass
3. 擷取所有使用者的憑證 (「.crt」) 檔案內容,以更新用戶端 Client VPN 組態檔案:
sudo cat user1.exmaple.com.crt
sudo cat user2.example.com.crt
4. 擷取所有使用者的金鑰 (「.key」) 檔案內容,以更新用戶端 Client VPN 組態檔案:
sudo cat user1.example.com.key
sudo cat user2.example.com.key
5. 將 .crt 和 .key 檔案的原始內容新增至 Client VPN 組態檔案中的每個使用者。使用者將此檔案儲存在本機。使用 <cert></cert> 和 <key></key>緊接在 ** 之後的 識別碼</ca>** 在 Client VPN 組態檔案中的行。或者,如下列範例所示,指定 .crt 和 .key 檔案路徑。
注意: 使用用戶端的使用者名稱替換 username。如果 /Users/username/Downloads 中沒有 .crt 和 .key 檔案,請據以變更路徑。
cert /Users/username/Downloads/*.crt
key /Users/username/Downloads/*.key
6. 儲存組態檔案,然後將檔案提供給每個使用者。然後,使用者會使用這些檔案來連線到 Client VPN 端點。
7. 連線至 Client VPN 端點之後:
開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台。
選擇 「用戶端 VPN 端點」。
選取用戶端 VPN 端點。
選擇「 連線 」索引標籤,然後選擇「 通用名稱」。索引標籤上顯示的 TLD 憑證,開頭為每個使用者的名稱。
8. (選擇性) 設定用戶端憑證撤銷清單 (CRL) 以封鎖或撤銷對特定用戶端憑證的存取權。將用戶端的憑證新增至撤銷清單 (CRL),會撤銷該用戶端對 Client VPN 端點的存取權。