Wie kann ich mithilfe einer zertifikatsbasierten Authentifizierung einen Client-VPN-Endpunkt erstellen?

Lesedauer: 3 Minute

Ich möchte mit AWS Client VPN auf meine AWS-Ressourcen zugreifen. Wie kann ich mithilfe einer zertifikatsbasierten Authentifizierung einen Client-VPN-Endpunkt erstellen?

Behebung

Der Client-VPN-Endpunkt ist der Server, auf dem alle Client-VPN-Sitzungen beendet werden. Der von AWS verwaltete Endpunkt stellt eine sichere Verbindung über Transport Layer Security (TLS) zwischen Ihrer VPC und dem OpenVPN-basierten Client her. Gehen Sie wie folgt vor, um einen Client-VPN-Endpunkt mithilfe der zertifikatsbasierten Authentifizierung zu erstellen:

Generieren von Server- und Client-Zertifikaten und -Schlüsseln

Um Clients zu authentifizieren, müssen Sie Folgendes generieren und es dann in den AWS Certificate Manager (ACM) hochladen:

Server- und Client-Zertifikate
Client-Schlüssel

Erstellen eines Client-VPN-Endpunkts

Wenn Sie einen Client-VPN-Endpunkt erstellen, geben Sie den von ACM bereitgestellten ARN für das Serverzertifikat an. Sie müssen darüber hinaus einen Client-IPv4-CIDR auswählen. Dies ist der IP-Adressbereich, der den Clients nach der Einrichtung des VPN zugewiesen wird. Beachten Sie, dass sich der IP-Adressbereich nicht mit dem VPC-CIDR-Block überschneiden darf.

Sie können die Protokollierung von Client-Verbindungen mit CloudWatch-Protokollen aktivieren und benutzerdefinierte DNS-Server angeben, die von den Clients verwendet werden sollen. Sie können den Split-Tunnel auch auf dem VPN-Endpunkt aktivieren und dann UDP oder TCP als Transportprotokoll auswählen.

Aktivieren von VPN-Konnektivität für Clients

Damit Clients eine VPN-Sitzung einrichten können, müssen Sie dem Client-VPN-Endpunkt ein Zielnetzwerk zuordnen. Ein Zielnetzwerk ist ein Subnetz in einer VPC. Eine Subnetzzuordnung reicht aus, damit Clients auf das gesamte Netzwerk einer VPC zugreifen können, sofern die Autorisierungsregeln dies zulassen. Sie können zusätzliche Subnetze zuordnen, um eine hohe Verfügbarkeit zu gewährleisten, falls eine Availability Zone ausfällt.

Autorisieren von Clients für den Zugriff auf VPC-Ressourcen oder andere Netzwerke

Um Clients für den Zugriff auf eine VPC zu autorisieren, erstellen Sie eine Autorisierungsregel. Die Autorisierungsregel gibt jene Clients an, die auf die VPC zugreifen können.

Sie können auch den Zugriff auf zusätzliche Netzwerke wie AWS-Services, Peered-VPCs, On-Premises-Netzwerke oder das Internet aktivieren. Für jedes weitere Netzwerk müssen Sie der Routingtabelle für Client-VPN-Endpunkte eine Route hinzufügen und dann eine Autorisierungsregel konfigurieren, um den Clients Zugriff zu gewähren.

Informationen zum Autorisieren von Clients für den Zugriff auf Ihre VPC und verschiedene Netzwerke finden Sie unter Hinzufügen einer Autorisierungsregel für eine VPC.

Herunterladen der Konfigurationsdatei für den Client-VPN-Endpunkt

Der letzte Schritt besteht darin, die Konfigurationsdatei für den Client-VPN-Endpunkt herunterzuladen und vorzubereiten. Stellen Sie diese Datei den Clients zur Verfügung, damit sie die Konfigurationseinstellungen in ihre VPN-Client-Anwendung hochladen können.

Ähnliche Informationen

Erste Schritte mit einem Client-VPN

Themen

Vernetzung & Bereitstellung von Inhalten

Relevanter Inhalt

Wie kann ich mithilfe eines SSH-Tunnels und der Amazon-Cognito-Authentifizierung von außerhalb einer VPC auf OpenSearch Dashboards zugreifen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie kann ich mithilfe der Amazon-Cognito-Authentifizierung von außerhalb einer VPC auf OpenSearch Dashboards zugreifen?
AWS OFFICIALAktualisiert vor einem Jahr
Wie verwende ich AWS Site-to-Site VPN, um ein zertifikatsbasiertes VPN zu erstellen?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie kann ich mithilfe der Kerberos-Authentifizierung eine Verbindung zu einer Aurora-PostgreSQL-kompatiblen DB-Instance herstellen?
AWS OFFICIALAktualisiert vor einem Jahr