本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 啟用 的交互身分驗證 AWS Client VPN 您可以在 Linux/MacOS 或 Windows 的 Client VPN 中啟用交互身分驗證。 ------ #### [ Linux/macOS ] 下列程序使用 OpenVPN easy-rsa 產生伺服器和用戶端憑證及金鑰,然後將伺服器憑證和金鑰上傳到 ACM。如需詳細資訊,請參閱 [Easy-RSA 3 Quickstart README](https://github.com/OpenVPN/easy-rsa/blob/v3.0.6/README.quickstart.md)。 **產生伺服器和用戶端憑證及金鑰並上傳到 ACM** 1. 將 OpenVPN easy-rsa 儲存庫複製到本機電腦並導覽至 `easy-rsa/easyrsa3` 資料夾。 ``` $ git clone https://github.com/OpenVPN/easy-rsa.git ``` ``` $ cd easy-rsa/easyrsa3 ``` 1. 初始化新的 PKI 環境。 ``` $ ./easyrsa init-pki ``` 1. 若要建置新的憑證授權機構 (CA),請執行此命令並依照提示執行。 ``` $ ./easyrsa build-ca nopass ``` 1. 產生伺服器憑證和金鑰。 ``` $ ./easyrsa --san=DNS:server build-server-full server nopass ``` 1. 產生用戶端憑證和金鑰。 務必儲存用戶端憑證和用戶端私有金鑰,因為您在設定用戶端時需要它們。 ``` $ ./easyrsa build-client-full client1.domain.tld nopass ``` 您可以選擇性地為每個需要用戶端憑證和金鑰的用戶端 (終端使用者) 重複此步驟。 1. 將伺服器憑證和金鑰及用戶端憑證和金鑰複製到自訂資料夾,然後導覽到自訂資料夾。 複製憑證和金鑰之前,請使用 `mkdir` 命令建立自訂資料夾。下列範例會在您的主目錄中建立自訂資料夾。 ``` $ mkdir ~/custom_folder/ $ cp pki/ca.crt ~/custom_folder/ $ cp pki/issued/server.crt ~/custom_folder/ $ cp pki/private/server.key ~/custom_folder/ $ cp pki/issued/client1.domain.tld.crt ~/custom_folder $ cp pki/private/client1.domain.tld.key ~/custom_folder/ $ cd ~/custom_folder/ ``` 1. 將伺服器憑證和金鑰,以及用戶端憑證和金鑰上傳至 ACM。請務必在與您想要建立 Client VPN 端點的相同區域中,將其上傳。下列命令使用 AWS CLI 上傳憑證。若要改為使用 ACM 主控台上傳憑證,請參閱 *《AWS Certificate Manager 使用者指南》* 中的[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)。 ``` $ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt ``` ``` $ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt ``` 您不一定需要將用戶端憑證上傳至 ACM。如果伺服器和用戶端憑證是由發行的同一家憑證授權機構 (CA) 所發行,則當您建立 Client VPN 端點時,您可以為伺服器和用戶端使用伺服器憑證 ARN。在上述步驟中,已使用相同的 CA 來建立這兩個憑證。然而,系統為了完整性,會包含上傳用戶端憑證的步驟。 ------ #### [ Windows ] 下列程序會安裝 Easy-RSA 3.x 軟體,然後使用它來產生伺服器和用戶端憑證和金鑰。 **產生伺服器和用戶端憑證及金鑰並上傳到 ACM** 1. 開啟 [EasyRSA 版本](https://github.com/OpenVPN/easy-rsa/releases)頁面,下載並擷取適用於您 Windows 版本的 ZIP 檔案。 1. 開啟命令提示,然後導覽至 `EasyRSA-3.x` 資料夾被擷取到的位置。 1. 執行下列命令以開啟 EasyRAS 3 殼層。 ``` C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat ``` 1. 初始化新的 PKI 環境。 ``` # ./easyrsa init-pki ``` 1. 若要建置新的憑證授權機構 (CA),請執行此命令並依照提示執行。 ``` # ./easyrsa build-ca nopass ``` 1. 產生伺服器憑證和金鑰。 ``` # ./easyrsa --san=DNS:server build-server-full server nopass ``` 1. 產生用戶端憑證和金鑰。 ``` # ./easyrsa build-client-full client1.domain.tld nopass ``` 您可以選擇性地為每個需要用戶端憑證和金鑰的用戶端 (終端使用者) 重複此步驟。 1. 退出 EasyRSA 3 shell。 ``` # exit ``` 1. 將伺服器憑證和金鑰及用戶端憑證和金鑰複製到自訂資料夾,然後導覽到自訂資料夾。 複製憑證和金鑰之前,請使用 `mkdir` 命令建立自訂資料夾。下列範例會在您的 C:\$1 磁碟機中建立自訂資料夾。 ``` C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder C:\Program Files\EasyRSA-3.x> cd C:\custom_folder ``` 1. 將伺服器憑證和金鑰,以及用戶端憑證和金鑰上傳至 ACM。請務必在與您想要建立 Client VPN 端點的相同區域中,將其上傳。下列命令使用 AWS CLI 上傳憑證。若要改為使用 ACM 主控台上傳憑證,請參閱 *《AWS Certificate Manager 使用者指南》* 中的[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate-api-cli.html)。 ``` aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt ``` ``` aws acm import-certificate \ --certificate fileb://client1.domain.tld.crt \ --private-key fileb://client1.domain.tld.key \ --certificate-chain fileb://ca.crt ``` 您不一定需要將用戶端憑證上傳至 ACM。如果伺服器和用戶端憑證是由發行的同一家憑證授權機構 (CA) 所發行,則當您建立 Client VPN 端點時,您可以為伺服器和用戶端使用伺服器憑證 ARN。在上述步驟中,已使用相同的 CA 來建立這兩個憑證。然而,系統為了完整性,會包含上傳用戶端憑證的步驟。 ------