如何使用基於憑證的身分驗證建立 Client VPN 端點？

解決方法

Client VPN 端點是終止所有 Client VPN 工作階段的伺服器。由 AWS 管理的端點會在 VPC 與基於 OpenVPN 的用戶端之間建立安全 Transport Layer Security (TLS) 連線。若要使用基於憑證的身分驗證建立 Client VPN 端點，請依照下列步驟執行：

產生伺服器和用戶端憑證和金鑰

若要驗證用戶端，您必須產生下列項目，然後將它們上傳到 AWS Certificate Manager (ACM)：

• 伺服器和用戶端憑證
• 用戶端金鑰

建立 Client VPN 端點

在建立 Client VPN 端點時，請指定 ACM 提供的伺服器憑證 ARN。您也必須選擇用戶端 IPv4 CIDR，這是建立 VPN 之後指派給用戶端的 IP 地址範圍。請注意，IP 地址範圍不能與 VPC CIDR 區塊重疊。

您可以透過 CloudWatch 日誌啟用用戶端連線日誌記錄，並指定自訂 DNS 伺服器供用戶端使用。您也可以在 VPN 端點上啟用 split-tunnel，然後選取 UDP 或 TCP 作為傳輸通訊協定。

為用戶端啟用 VPN 連線

若要讓用戶端建立 VPN 工作階段，您必須將目標網路與 Client VPN 端點建立關聯。目標網路是 VPC 中的子網路。如果授權規則允許，一個子網路關聯就足以讓用戶端存取 VPC 的整個網路。您可以與其他子網路建立關聯，以在可用區域關閉時提供高可用性。

授權用戶端存取 VPC 資源或任何其他網路

若要授權用戶端存取 VPC，請建立授權規則。授權規則指定可存取 VPC 的用戶端。

您也可以啟用對其他網路的存取，例如 AWS 服務、對等 VPC、內部部署網路或網際網路。對於每個其他網路，您必須新增路由至 Client VPN 端點路由表，然後設定授權規則以提供用戶端存取權。

若要授權用戶端存取您的 VPC 和不同網路，請參閱為 VPC 新增授權規則。

下載 Client VPN 端點組態檔案

最後一個步驟是下載並準備 Client VPN 端點組態檔案。將此檔案提供給用戶端，以便他們可以將組態設定上傳至其 VPN 用戶端應用程式。

相關資訊

開始使用 Client VPN