As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Habilite a autenticação mútua para AWS Client VPN Você pode ativar a autenticação mútua no Client VPN em qualquer um Linux/MacOS ou no Windows. ------ #### [ Linux/macOS ] O procedimento a seguir usa o OpenVPN easy-rsa para gerar os certificados e as chaves de servidor e cliente e faz upload do certificado e da chave de servidor no ACM. Para obter mais informações, consulte a seção [LER de início rápido do Easy-RSA 3](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md). **Para gerar os certificados e as chaves de servidor e cliente e transferi-los por upload ao ACM** 1. Clone o repositório easy-rsa do OpenVPN para o computador local e navegue até a pasta `easy-rsa/easyrsa3`. ``` $ git clone https://github.com/OpenVPN/easy-rsa.git ``` ``` $ cd easy-rsa/easyrsa3 ``` 1. Inicialize um novo ambiente PKI. ``` $ ./easyrsa init-pki ``` 1. Para criar uma nova autoridade de certificação (CA), execute este comando e siga as instruções. ``` $ ./easyrsa build-ca nopass ``` 1. Gere o certificado e a chave de servidor. ``` $ ./easyrsa --san=DNS:server build-server-full server nopass ``` 1. Gere o certificado e a chave de cliente. Certifique-se de salvar o certificado de cliente e a chave privada de cliente, pois você precisará deles ao configurar o cliente. ``` $ ./easyrsa build-client-full client1.domain.tld nopass ``` Opcionalmente, você pode repetir essa etapa para cada cliente (usuário final) que exija um certificado e uma chave de cliente. 1. Copie os certificados e as chaves de servidor e de cliente para uma pasta personalizada e depois navegue até ela. Antes de copiar os certificados e as chaves, crie a pasta personalizada usando o comando `mkdir`. O exemplo a seguir cria uma pasta personalizada em seu diretório base. ``` $ mkdir ~/{{custom_folder}}/ $ cp pki/ca.crt ~/{{custom_folder}}/ $ cp pki/issued/server.crt ~/{{custom_folder}}/ $ cp pki/private/server.key ~/{{custom_folder}}/ $ cp pki/issued/client1.domain.tld.crt ~/{{custom_folder}} $ cp pki/private/client1.domain.tld.key ~/{{custom_folder}}/ $ cd ~/{{custom_folder}}/ ``` 1. Faça upload do certificado e da chave do servidor e do certificado e da chave do cliente no ACM. Certifique-se de fazer upload deles na mesma região em que pretende criar o endpoint da Client VPN. Os comandos a seguir usam a AWS CLI para fazer upload dos certificados. Para fazer upload dos certificados usando o console do ACM, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) no *Guia do usuário do AWS Certificate Manager *. ``` $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt ``` ``` $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt ``` Você não precisa necessariamente carregar o certificado do cliente no ACM. Se os certificados de servidor e de cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor tanto para o servidor quanto para o cliente ao criar o endpoint do cliente VPN. Nas etapas acima, a mesma CA foi usada para criar ambos os certificados. Entretanto, as etapas para carregar o certificado do cliente estão incluídas para que as instruções fiquem completas. ------ #### [ Windows ] O procedimento a seguir instala o software Easy-RSA 3.x e o usa para gerar os certificados e chaves do servidor e do cliente. **Para gerar os certificados e as chaves de servidor e cliente e carregá-los no ACM** 1. Acesse a página de [lançamentos do EasyRSA](https://github.com/OpenVPN/easy-rsa/releases), baixe o arquivo ZIP para sua versão do Windows e extraia-o. 1. Abra um prompt de comando e navegue até o local para o qual a pasta `EasyRSA-3.x` foi extraída. 1. Execute o comando a seguir para abrir o shell do EasyRSA 3. ``` C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat ``` 1. Inicialize um novo ambiente PKI. ``` # ./easyrsa init-pki ``` 1. Para criar uma nova autoridade de certificação (CA), execute este comando e siga as instruções. ``` # ./easyrsa build-ca nopass ``` 1. Gere o certificado e a chave de servidor. ``` # ./easyrsa --san=DNS:server build-server-full server nopass ``` 1. Gere o certificado e a chave de cliente. ``` # ./easyrsa build-client-full client1.domain.tld nopass ``` Opcionalmente, você pode repetir essa etapa para cada cliente (usuário final) que exija um certificado e uma chave de cliente. 1. Saia do shell do EasyRSA 3. ``` # exit ``` 1. Copie os certificados e as chaves de servidor e de cliente para uma pasta personalizada e depois navegue até ela. Antes de copiar os certificados e as chaves, crie a pasta personalizada usando o comando `mkdir`. O exemplo a seguir cria uma pasta personalizada na unidade C:\\. ``` C:\Program Files\EasyRSA-3.x> mkdir C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\{{custom_folder}} C:\Program Files\EasyRSA-3.x> cd C:\{{custom_folder}} ``` 1. Faça upload do certificado e da chave do servidor e do certificado e da chave do cliente no ACM. Certifique-se de fazer upload deles na mesma região em que pretende criar o endpoint da Client VPN. Os comandos a seguir usam o AWS CLI para carregar os certificados. Para fazer upload dos certificados usando o console do ACM, consulte [Importar certificados](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html) no *Guia do usuário do AWS Certificate Manager *. ``` aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt ``` ``` aws acm import-certificate \ --certificate fileb://client1.domain.tld.crt \ --private-key fileb://client1.domain.tld.key \ --certificate-chain fileb://ca.crt ``` Você não precisa necessariamente carregar o certificado do cliente no ACM. Se os certificados de servidor e de cliente tiverem sido emitidos pela mesma autoridade de certificação (CA), você poderá usar o ARN de certificado de servidor tanto para o servidor quanto para o cliente ao criar o endpoint do cliente VPN. Nas etapas acima, a mesma CA foi usada para criar ambos os certificados. Entretanto, as etapas para carregar o certificado do cliente estão incluídas para que as instruções fiquem completas. ------