Habilitar la autenticación mutua para AWS Client VPN

Puede habilitar la autenticación mutua en el cliente VPN en Linux/macOS o Windows.

Linux/macOS

En el siguiente procedimiento, se utiliza Open VPN easy-rsa para generar los certificados y las claves del servidor y del cliente y, a continuación, se cargan el certificado y la clave del servidor. ACM Para obtener más información, consulte la guía de inicio rápido de Easy- 3. RSA README

Para generar los certificados y las claves del servidor y del cliente y cargarlos en ACM

Clona el repositorio Open VPN easy-rsa en tu ordenador local y navega hasta la carpeta. easy-rsa/easyrsa3
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
Inicialice un entorno nuevo. PKI
```
$ ./easyrsa init-pki
```
Para crear una nueva entidad de certificación (CA), ejecute este comando y siga las indicaciones.
```
$ ./easyrsa build-ca nopass
```

Genere el certificado y la clave del servidor.


$ ./easyrsa --san=DNS:server build-server-full server nopass

Genere el certificado y la clave del cliente.

Asegúrese de guardar el certificado del cliente y la clave privada del cliente, ya que los necesitará para configurar el cliente.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Tiene la opción de repetir este paso para cada cliente (usuario final) que requiera un certificado y una clave de cliente.
Copie el certificado y la clave del servidor y el certificado y la clave del cliente en una carpeta personalizada y, a continuación, vaya a la carpeta personalizada.

Antes de copiar los certificados y las claves, cree la carpeta personalizada; para ello, ejecute el comando mkdir. En el ejemplo siguiente se crea una carpeta personalizada en el directorio principal.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
Cargue el certificado y la clave del servidor y el certificado y la clave del cliente aACM. Asegúrese de cargarlos en la misma región en la que piensa crear el VPN punto final del cliente. Los siguientes comandos utilizan la AWS CLI para cargar los certificados. Para cargar los certificados mediante la ACM consola, consulte Importación de un certificado en la Guía del AWS Certificate Manager usuario.
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
No es necesario que cargue el certificado de cliente aACM. Si los certificados de servidor y cliente los ha emitido la misma autoridad de certificación (CA), puede usar el certificado de servidor tanto ARN para el servidor como para el cliente al crear el VPN punto final del cliente. En los pasos anteriores, se ha utilizado la misma CA para crear ambos certificados. Sin embargo, se incluyen los pasos para cargar el certificado de cliente con ánimo de exhaustividad.

Windows

El siguiente procedimiento instala el software Easy- RSA 3.x y lo utiliza para generar certificados y claves de servidor y cliente.

Para generar certificados y claves de servidor y cliente y cargarlos en ACM

Abre la página de RSAversiones sencillas, descarga el ZIP archivo para tu versión de Windows y extráelo.
Abra un símbolo del sistema y vaya a la ubicación en la que se extrajo la carpeta EasyRSA-3.x.
Ejecute el siguiente comando para abrir el shell de Easy RSA 3.
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
Inicialice un PKI entorno nuevo.
```
# ./easyrsa init-pki
```
Para crear una nueva entidad de certificación (CA), ejecute este comando y siga las indicaciones.
```
# ./easyrsa build-ca nopass
```

Genere el certificado y la clave del servidor.


# ./easyrsa --san=DNS:server build-server-full server nopass

Genere el certificado y la clave del cliente.
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
Tiene la opción de repetir este paso para cada cliente (usuario final) que requiera un certificado y una clave de cliente.
Salga de la carcasa Easy RSA 3.
```
# exit
```

Copie el certificado y la clave del servidor y el certificado y la clave del cliente en una carpeta personalizada y, a continuación, vaya a la carpeta personalizada.

Antes de copiar los certificados y las claves, cree la carpeta personalizada; para ello, ejecute el comando mkdir. En el ejemplo siguiente se crea una carpeta personalizada en su unidad C:\.


C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

Cargue el certificado y la clave del servidor y el certificado y la clave del cliente aACM. Asegúrese de cargarlos en la misma región en la que piensa crear el VPN punto final del cliente. Los siguientes comandos utilizan el AWS CLI para cargar los certificados. Para cargar los certificados mediante la ACM consola, consulte Importar un certificado en la Guía del AWS Certificate Manager usuario.
```
aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt
```
No es necesario que cargue el certificado de cliente aACM. Si los certificados de servidor y cliente los ha emitido la misma autoridad de certificación (CA), puede usar el certificado de servidor tanto ARN para el servidor como para el cliente al crear el VPN punto final del cliente. En los pasos anteriores, se ha utilizado la misma CA para crear ambos certificados. Sin embargo, se incluyen los pasos para cargar el certificado de cliente con ánimo de exhaustividad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación mutua

Renueve su certificado de servidor