如何使用基于证书的身份验证创建客户端 VPN 端点？

解决方法

客户端 VPN 终端节点是终止所有客户端 VPN 会话的服务器。终端节点由 AWS 管理，在您的 VPC 和基于 OpenVPN 的客户端之间建立安全的传输层安全性 (TLS) 连接。要使用基于证书的身份验证创建客户端 VPN 终端节点，请按照以下步骤操作：

生成服务器和客户端证书与密钥

要对客户端进行身份验证，您必须生成以下内容，然后将其上传到 AWS Certificate Manager (ACM)：

• 服务器和客户端证书
• 客户端密钥

创建客户端 VPN 端点

当您创建客户端 VPN 端点时，请指定 ACM 提供的服务器证书 ARN。您还必须选择一个客户端 IPv4 CIDR，这是建立 VPN 之后分配给客户端的 IP 地址范围。请注意，IP 地址范围不能与 VPC CIDR 块重叠。

您可以借助 CloudWatch Logs 启用客户端连接日志记录，并指定自定义 DNS 服务器供客户端使用。您还可在 VPN 端点上启用分离隧道，然后选择 UDP 或 TCP 作为传输协议。

为客户端启用 VPN 连接

要启用客户端以建立 VPN 会话，必须将目标网络与客户端 VPN 终端节点关联。目标网络是 VPC 中的子网。如果授权规则允许，一个子网关联便足以让客户端访问 VPC 的整个网络。您可以关联其他子网，以便在一个可用区出现故障时提供高可用性。

授权客户端访问 VPC 资源或任何其他网络

要授权客户端访问 VPC，请创建一个授权规则。授权规则指定了可访问 VPC 的客户端。

您还可启用对其他网络的访问，如 AWS 服务、对等 VPC、本地网络或互联网。每增加一个网络，必须将一个路由添加到客户端 VPN 端点路由表，然后配置授权规则以向客户端授予访问权限。

要授权客户端访问您的 VPC 和其他网络，请参阅为 VPC 添加授权规则。

下载客户端 VPN 端点配置文件

最后一步是下载并准备客户端 VPN 终端节点配置文件。将此文件提供给客户端，使其能将配置设置上传到其 VPN 客户端应用程序。

---

相关信息

客户端 VPN 入门