AWS 多 VPN 客户端证书
AWS multiple VPN client certificates
使用 AWS 我需要确保我有多个客户端使用 VPN 网络。每个客户端都将使用我之前创建的相同服务器证书。
现在使用 this 文档,我设法设置了自己的 VPN,并能够使用生成的客户端证书连接到它。这当然只是针对一个客户。我需要为 3 完成此操作。我不能在他们之间共享相同的客户端证书,因为我希望能够撤销每个人的证书。
在配置 VPN 端点时我注意到我必须使用 "Mutual Authentication" 因为我们没有 AD 也不会设置一个。这需要您在创建端点时提供客户端证书。
生成证书和密钥的文档指出:
You only need to upload the client certificate to ACM when the Certificate Authority (Issuer) of the client certificate is different from the Certificate Authority (Issuer) of the server certificate.
因为我只是使用亚马逊本身提到的 easyrsa 步骤创建了两个(客户端和服务器),所以我发现当我没有将客户端证书上传到 ACM 时,我无法创建端点,无论如何显然不需要上传。
这是否真的意味着当我想让他们使用自己的证书时,我需要为每个用户设置 N 个不同的端点?这对我来说听起来是一项非常繁重的任务,尤其是在您拥有 3 个以上用户的情况下。文档提到了这一点:
You can create a separate client certificate and key for each client that will connect to the Client VPN endpoint.
(强调我的)
注意到与复数相对的单数 "endpoint" 了吗?谁能阐明我可能遗漏了什么?
当您的 VPN 使用相互身份验证选项时,(在 CA 中存在关于同一问题的限制)然后是的,3 个客户端证书中的每一个都应该能够连接到相同的端点,而无需上传每个客户端证书到 ACM。
使用 AWS 我需要确保我有多个客户端使用 VPN 网络。每个客户端都将使用我之前创建的相同服务器证书。
现在使用 this 文档,我设法设置了自己的 VPN,并能够使用生成的客户端证书连接到它。这当然只是针对一个客户。我需要为 3 完成此操作。我不能在他们之间共享相同的客户端证书,因为我希望能够撤销每个人的证书。
在配置 VPN 端点时我注意到我必须使用 "Mutual Authentication" 因为我们没有 AD 也不会设置一个。这需要您在创建端点时提供客户端证书。
生成证书和密钥的文档指出:
You only need to upload the client certificate to ACM when the Certificate Authority (Issuer) of the client certificate is different from the Certificate Authority (Issuer) of the server certificate.
因为我只是使用亚马逊本身提到的 easyrsa 步骤创建了两个(客户端和服务器),所以我发现当我没有将客户端证书上传到 ACM 时,我无法创建端点,无论如何显然不需要上传。
这是否真的意味着当我想让他们使用自己的证书时,我需要为每个用户设置 N 个不同的端点?这对我来说听起来是一项非常繁重的任务,尤其是在您拥有 3 个以上用户的情况下。文档提到了这一点:
You can create a separate client certificate and key for each client that will connect to the Client VPN endpoint.
(强调我的)
注意到与复数相对的单数 "endpoint" 了吗?谁能阐明我可能遗漏了什么?
当您的 VPN 使用相互身份验证选项时,(在 CA 中存在关于同一问题的限制)然后是的,3 个客户端证书中的每一个都应该能够连接到相同的端点,而无需上传每个客户端证书到 ACM。