Exportieren und Konfigurieren der Client-Konfigurationsdatei - AWS Client VPN
Exportieren der Client-KonfigurationsdateiFügen Sie das Client-Zertifikat und die Schlüsselinformationen (gegenseitige Authentifizierung) hinzu.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Exportieren und Konfigurieren der Client-Konfigurationsdatei

Die Client VPN-Konfigurationsdatei ist die Datei, die von Clients (Benutzern) verwendet wird, um eine VPN-Verbindung mit dem Client VPN-Endpunkt herzustellen. Sie müssen diese Datei herunterladen (exportieren) und alle Clients verteilen, die auf das VPN zugreifen müssen. Wenn Sie das Self-Service-Portal für Ihren Client-VPN-Endpunkt aktiviert haben, können sich Clients alternativ beim Portal anmelden und die Konfigurationsdatei selbst herunterladen. Weitere Informationen finden Sie unter Zugriff auf das Self-Service-Portal.

Wenn Ihr Client-VPN-Endpunkt die gegenseitige Authentifizierung verwendet, müssen Sie das Client-Zertifikat und den privaten Schlüssel des Clients zu der OVPN-Konfigurationsdatei hinzufügen, die Sie herunterladen. Nach dem Hinzufügen der Informationen können Sie die OVPN-Datei in die OpenVPN-Client-Software importieren.

Wichtig

Wenn Sie der Datei das Client-Zertifikat und die privaten Schlüsselinformationen des Clients nicht hinzufügen, können Clients, die die gegenseitige Authentifizierung verwenden, keine Verbindung zum Client-VPN-Endpunkt herstellen.

Standardmäßig aktiviert die Option „remote-random-hostname“ in der OpenVPN-Clientkonfiguration Platzhalter-DNS. Da DNS-Platzhalter aktiviert sind, speichert der Client die IP-Adresse des Endpunkts nicht zwischen und Sie können keinen Ping an den DNS-Namen des Endpunkts ausführen.

Wenn Ihr Client-VPN-Endpunkt die Active Directory-Authentifizierung verwendet und Sie nach der Verteilung der Client-Konfigurationsdatei Multi-Factor Authentication (MFA) in Ihrem Verzeichnis aktivieren, müssen Sie eine neue Datei herunterladen und an Ihre Clients weitergeben. Clients können nicht die vorherige Konfigurationsdatei verwenden, um eine Verbindung mit dem Client-VPN-Endpunkt herzustellen.

Exportieren der Client-Konfigurationsdatei

Sie können die Client-Konfiguration mithilfe der Konsole oder der AWS CLI exportieren.

So exportieren Sie die Client-Konfiguration (Konsole)

  1. Öffnen Sie die Amazon VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Client VPN Endpoints (Client VPN-Endpunkte) aus.

  3. Wählen Sie den Client-VPN-Endpunkt, für den die Client-Konfiguration heruntergeladen werden soll, und dann die Option Download Client Configuration (Client-Konfiguration herunterladen) aus.

So exportieren Sie die Client-Konfiguration (AWS CLI)

Verwenden Sie den Befehl export-client-vpn-client-configuration und geben Sie den Namen der Ausgabedatei an.

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn

Fügen Sie das Client-Zertifikat und die Schlüsselinformationen (gegenseitige Authentifizierung) hinzu.

Wenn Ihr Client-VPN-Endpunkt die gegenseitige Authentifizierung verwendet, müssen Sie das Client-Zertifikat und den privaten Schlüssel des Clients zu der OVPN-Konfigurationsdatei hinzufügen, die Sie herunterladen.

Sie können das Clientzertifikat nicht ändern, wenn Sie die gegenseitige Authentifizierung verwenden.

Hinzufügen des Client-Zertifikats und der Schlüsselinformationen (gegenseitige Authentifizierung)

Verwenden Sie eine der folgenden Optionen.

(Option 1) Verteilen Sie das Client-Zertifikat und den Schlüssel zusammen mit der Client-VPN-Endpunktkonfigurationsdatei an Clients. Geben Sie in diesem Fall den Pfad zum Zertifikat und Schlüssel in der Konfigurationsdatei an. Öffnen Sie die Konfigurationsdatei mit Ihrem bevorzugten Texteditor und fügen Sie Folgendes an das Ende der Datei an. Ersetzen Sie /path/ durch den Speicherort des Client-Zertifikats und -Schlüssels (der Speicherort bezieht sich auf den Client, der eine Verbindung zum Endpunkt herstellt).

cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key

(Option 2) Fügen Sie der Konfigurationsdatei den Inhalt des Client-Zertifikats in <cert></cert>-Tags und den Inhalt des privaten Schlüssels in <key></key>-Tags hinzu. Wenn Sie diese Option wählen, verteilen Sie nur die Konfigurationsdatei an Ihre Clients.

Wenn Sie separate Client-Zertifikate und Schlüssel für jeden Benutzer erstellt haben, der eine Verbindung zum Client-VPN-Endpunkt herstellt, wiederholen Sie diesen Schritt für jeden Benutzer.

Nachfolgend finden Sie ein Beispiel für das Format einer Client-VPN-Konfigurationsdatei, die das Client-Zertifikat und den Schlüssel enthält.

client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0