Activez l'authentification mutuelle pour AWS Client VPN

Vous pouvez activer l'authentification mutuelle dans le client VPN sous Linux/macOS ou Windows.

Linux/macOS

La procédure suivante utilise Open VPN easy-rsa pour générer les certificats et clés du serveur et du client, puis télécharge le certificat et la clé du serveur vers. ACM Pour plus d'informations, consultez le guide de démarrage rapide RSA README Easy3.

Pour générer les certificats et clés du serveur et du client et les télécharger sur ACM

Clonez le dépôt Open VPN easy-rsa sur votre ordinateur local et accédez au dossier. easy-rsa/easyrsa3
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
Initialisez un nouvel PKI environnement.
```
$ ./easyrsa init-pki
```
Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.
```
$ ./easyrsa build-ca nopass
```

Générez le certificat et la clé du serveur.


$ ./easyrsa --san=DNS:server build-server-full server nopass

Générez le certificat et la clé du client.

Assurez-vous de conserver le certificat du client et la clé privée du client, car vous en aurez besoin pour configurer le client.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Vous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat et une clé client.
Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.

Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de mkdir la commande . L'exemple suivant crée un dossier personnalisé dans votre répertoire personnel.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
Téléchargez le certificat et la clé du serveur, ainsi que le certificat et la clé du client surACM. Assurez-vous de les télécharger dans la même région que celle dans laquelle vous souhaitez créer le point de VPN terminaison client. Les commandes suivantes utilisent AWS CLI pour charger les certificats. Pour télécharger les certificats à l'aide de la ACM console, voir Importer un certificat dans le guide de AWS Certificate Manager l'utilisateur.
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
Il n'est pas nécessaire de télécharger le certificat client surACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser le certificat de serveur à la fois ARN pour le serveur et pour le client lorsque vous créez le point de VPN terminaison client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.

Windows

La procédure suivante installe le logiciel RSA Eas-3.x et l'utilise pour générer des certificats et des clés de serveur et de client.

Pour générer des certificats et des clés de serveur et de client et les télécharger sur ACM

Ouvrez la page Easy RSA releases, téléchargez le ZIP fichier correspondant à votre version de Windows et extrayez-le.
Ouvrez une invite de commande et accédez à l'emplacement dans lequel le dossier EasyRSA-3.x a été extrait.
Exécutez la commande suivante pour ouvrir le shell Easy RSA 3.
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
Initialisez un nouvel PKI environnement.
```
# ./easyrsa init-pki
```
Pour créer une nouvelle autorité de certification, exécutez cette commande et suivez les invites.
```
# ./easyrsa build-ca nopass
```

Générez le certificat et la clé du serveur.


# ./easyrsa --san=DNS:server build-server-full server nopass

Générez le certificat et la clé du client.
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
Vous pouvez facultativement répéter cette étape pour chaque client (utilisateur final) qui nécessite un certificat client et une clé.
Sortez de la coque Easy RSA 3.
```
# exit
```

Copiez le certificat et la clé du serveur ainsi que le certificat et la clé du client dans un dossier personnalisé, puis accédez au dossier personnalisé.

Avant de copier les certificats et les clés, créez le dossier personnalisé à l'aide de la commande mkdir. L'exemple suivant crée un dossier personnalisé sur votre unité C:\.


C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

Téléchargez le certificat et la clé du serveur, ainsi que le certificat et la clé du client surACM. Assurez-vous de les télécharger dans la même région que celle dans laquelle vous souhaitez créer le point de VPN terminaison client. Les commandes suivantes utilisent le AWS CLI pour télécharger les certificats. Pour télécharger les certificats à l'aide de la ACM console, voir Importer un certificat dans le guide de AWS Certificate Manager l'utilisateur.
```
aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt
```
Il n'est pas nécessaire de télécharger le certificat client surACM. Si les certificats du serveur et du client ont été émis par la même autorité de certification (CA), vous pouvez utiliser le certificat de serveur à la fois ARN pour le serveur et pour le client lorsque vous créez le point de VPN terminaison client. Dans les étapes ci-dessus, la même autorité de certification a été utilisée pour créer les deux certificats. Toutefois, les étapes de téléchargement du certificat client sont incluses pour des fins d'exhaustivité.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentification mutuelle

Renouvelez votre certificat de serveur