如何配置多个用户使用同一 Client VPN 端点？

简短描述

本文介绍如何使用以下命令生成客户端证书：

./easyrsa build-client-full client1.domain.tld nopass

有关创建您自己的服务器端证书并将这些证书上传到 AWS Certificate Manager 的更多信息，请参阅 AWS Client VPN 指南中的双向身份验证。

解决方案

**注意：**client1.domain.tld 是以下命令中使用的占位符名称。替换为您自己的客户端域名。对于需要自己的唯一客户端证书的每个用户，您可以根据需要多次运行此命令。

1.    创建 Client VPN 终端节点。

2.    为每个用户生成唯一的客户端证书。以下示例显示两个用户，即 User1 和 User2。根据需要替换为您的唯一用户。

$ ./easyrsa build-client-full user1.example.com nopass
            
$ ./easyrsa build-client-full user2.example.com nopass

3.    为所有用户检索证书（“.crt”）文件的内容，以便更新客户端 Client VPN 配置文件：

sudo cat user1.exmaple.com.crt
            
sudo cat user2.example.com.crt

4.    为所有用户检索密钥（“.key”）文件的内容，以便更新客户端 Client VPN 配置文件：

sudo cat user1.example.com.key
            
sudo cat user2.example.com.key

5.    将 .crt 和 .key 文件的原始内容添加到 Client VPN 配置文件中的每个用户。用户将此文件存储在本地。在 Client VPN 配置文件中，直接在 </ca> 行后使用 <cert></cert> 和 <key></key> 标识符。或者，指定 .crt 和 .key 文件路径，如下例所示。
注意：将 username 替换为您的客户端用户名。如果 .crt 和 .key 文件没有位于 /Users/username/Downloads 中，则更改为相应的路径。

cert /Users/username/Downloads/*.crt
    
key /Users/username/Downloads/*.key

6.    保存配置文件，然后将文件提供给每个用户。然后，用户使用这些文件连接到 Client VPN 端点。

7.    连接到 Client VPN 终端节点后：

打开 Amazon Virtual Private Cloud (Amazon VPC) console（Amazon Virtual Private Cloud (Amazon VPC) 控制台）。

选择 Client VPN 终端节点。

选择 Client VPN 终端节点。

选择 Connections（连接）选项卡，然后选择 Common Name（公用名）。选项卡上显示的 TLD 证书以每个用户的名称开头。

8.    （可选）配置客户端证书吊销列表 (CRL)，以阻止或吊销对特定客户端证书的访问。将客户端证书添加到吊销列表 (CRL) 将会吊销客户端对客户端 VPN 终端节点的访问。

---