Comment configurer plusieurs utilisateurs pour utiliser le même point de terminaison VPN client ?

Brève description

Cet article explique comment générer un certificat côté client à l'aide de la commande suivante :

./easyrsa build-client-full client1.domain.tld nopass

Pour plus d'informations sur la création de votre propre certificat côté serveur et le chargement de ces certificats sur AWS Certificate Manager, veuillez consulter la rubrique Authentification mutuelle dans le guide AWS Client VPN.

Solution

Remarque : client1.domain.tld est un nom d'espace réservé utilisé dans les commandes suivantes. Remplacez-le par votre propre nom de domaine client. Vous pouvez exécuter cette commande autant de fois que nécessaire pour chaque utilisateur qui a besoin de son propre certificat côté client unique.

1.    Créez un point de terminaison VPN client.

2.    Générez des certificats côté client uniques pour chaque utilisateur. L'exemple suivant montre deux utilisateurs, User1 et User2. Remplacez-les par vos utilisateurs uniques si nécessaire.

$ ./easyrsa build-client-full user1.example.com nopass
            
$ ./easyrsa build-client-full user2.example.com nopass

3.    Récupérez le contenu des fichiers de certificat (« .crt ») pour tous les utilisateurs afin de mettre à jour le fichier de configuration de VPN client côté client :

sudo cat user1.exmaple.com.crt
            
sudo cat user2.example.com.crt

4.    Récupérez le contenu des fichiers de clé (« .key ») pour tous les utilisateurs afin de mettre à jour le fichier de configuration de VPN client côté client :

sudo cat user1.example.com.key
            
sudo cat user2.example.com.key

5.    Ajoutez le contenu brut des fichiers .crt et .key au fichier de configuration du point de terminaison de VPN client. Les utilisateurs stockent ce fichier localement. Utilisez les identifiants <cert></cert> et <key></key> et qui suivent directement la ligne </ca> au sein du fichier de configuration de VPN client. Vous pouvez également spécifier les chemins d'accès aux fichiers .crt et .key, comme illustré dans l'exemple suivant.
Remarque : remplacez la valeur username par le nom d'utilisateur de votre client. Si les fichiers .crt et .key ne se trouvent pas dans /Users/username/Downloads, modifiez le chemin en conséquence.

cert /Users/username/Downloads/*.crt
    
key /Users/username/Downloads/*.key

6.    Enregistrez les fichiers de configuration, puis communiquez-les à chaque utilisateur. Les utilisateurs utilisent ensuite les fichiers pour se connecter au point de terminaison VPN client.

7.    Après la connexion au point de terminaison VPN du client :

Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).

Choisissez Client VPN Endpoints (Point de terminaison VPN client).

Sélectionnez le point de terminaison VPN client.

Sélectionnez l'onglet Connections (Connexions), puis Common Name (Nom commun). Les certificats TLD qui apparaissent dans l'onglet, en commençant par le nom de chaque utilisateur.

8.    (Facultatif) Configurez des listes de révocation de certificats (CRL) de client pour bloquer ou révoquer des certificats de client spécifiques. L'ajout du certificat d'un client à une liste de révocation (CRL) révoque l'accès du client au point de terminaison VPN client.