本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
双向认证 AWS Client VPN
借助双向身份验证,Client VPN 使用证书在客户端和服务器之间执行身份验证。证书是由证书颁发机构(CA)颁发的数字化身份。当客户端尝试连接到 Client VPN 端点时,服务器使用客户端证书对客户端进行身份验证。您必须创建服务器证书和密钥,以及至少一个客户端证书和密钥。
您必须将服务器证书上传到 AWS Certificate Manager (ACM),并在创建 Client VPN 端点时指定该证书。将服务器证书上载到 ACM 时,还需要指定证书颁发机构 (CA)。如果客户端证书的 CA 与服务器证书的 CA 不同,您只需将客户端证书上传到 ACM。有关 ACM 的更多信息,请参阅 AWS Certificate Manager 用户指南。
您可以为将连接到 Client VPN 端点的每个客户端创建单独的客户端证书和密钥。这使您能够在用户退出组织时撤销特定的客户端证书。在这种情况下,当您创建 Client VPN 端点时,可以为客户端证书指定服务器证书 ARN,前提是客户端证书与服务器证书是由相同 CA 颁发的。
AWS Client VPN 中使用的证书必须符合 RFC 5280:Internet X.509 公钥基础设施证书和证书吊销列表 (CRL) 配置文件
注意
Client VPN 端点仅支持 1024 位和 2048 位 RSA 密钥大小。此外,客户端证书的“主题”字段中必须具有 CN 属性。
当与 Client VPN 服务一起使用的证书更新时,无论是通过 ACM 自动轮换、手动导入新证书,还是通过 IAM Identity Center 的元数据更新,Client VPN 服务都将使用较新的证书自动更新 Client VPN 终端节点。这是一个自动化流程,最多可能需要 5 个小时。
