Abilita l'autenticazione reciproca per AWS Client VPN

Modalità Focus

Abilita l'autenticazione reciproca per AWS Client VPN - AWS Client VPN

È possibile abilitare l'autenticazione reciproca in Client VPN in Linux/macOS o Windows.

Linux/macOS

La seguente procedura utilizza OpenVPN easy-rsa per generare i certificati e le chiavi server e client e caricare il certificato e la chiave server in ACM. Per ulteriori informazioni, consulta il file README di Easy-RSA 3 Quickstart.

Per generare i certificati e le chiavi server e client e caricarli in ACM

Clonare il repository OpenVPN easy-rsa sul computer locale e passare alla cartella easy-rsa/easyrsa3.
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
Inizializzare un nuovo ambiente PKI.
```
$ ./easyrsa init-pki
```
Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.
```
$ ./easyrsa build-ca nopass
```

Generare il certificato e la chiave server.


$ ./easyrsa --san=DNS:server build-server-full server nopass

Generare il certificato e la chiave client.

Salvare il certificato e la chiave privata client perché saranno necessari quando si configura il client.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.
Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando mkdir. Nell'esempio seguente viene creata una cartella personalizzata nella directory home.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
Carica il certificato e la chiave server e il certificato e la chiave client in ACM. Assicurati di caricarli nella stessa regione in cui desideri creare l'endpoint Client VPN. I seguenti comandi utilizzano l'interfaccia a riga di comando di AWS CLI per caricare i certificati. Per caricare i certificati utilizzando la console ACM, consulta Importazione di un certificato nella Guida per l'utente di AWS Certificate Manager .
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
Non è necessario caricare il certificato client su ACM. Se i certificati server e client sono stati emessi dalla stessa certification authority (CA), quando crei l'endpoint Client VPN sarà possibile utilizzare l'ARN del certificato server sia per il server che per il client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

Windows

La procedura seguente installa il software Easy-RSA 3.x e lo utilizza per generare i certificati e le chiavi server e client.

Per generare i certificati e le chiavi server e client e caricarli in ACM

Apri la pagina delle versioni di EasyRSA e scarica il file ZIP della tua versione di Windows ed estrailo.
Apri un prompt dei comandi e passa alla posizione in cui è stata estratta la cartella EasyRSA-3.x.
Eseguire il comando seguente per aprire la shell di EasyRSA 3.
```
C:\Program Files\EasyRSA-3.x> .\EasyRSA-Start.bat
```
Inizializzare un nuovo ambiente PKI.
```
# ./easyrsa init-pki
```
Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.
```
# ./easyrsa build-ca nopass
```

Generare il certificato e la chiave server.


# ./easyrsa --san=DNS:server build-server-full server nopass

Generare il certificato e la chiave client.
```
# ./easyrsa build-client-full client1.domain.tld nopass
```
Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.
Uscire dalla shell EasyRSA 3.
```
# exit
```

Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando mkdir. Nell'esempio seguente viene creata una cartella personalizzata nell'unità C:\.


C:\Program Files\EasyRSA-3.x> mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x> copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x> cd C:\custom_folder

Carica il certificato e la chiave server e il certificato e la chiave client in ACM. Assicurati di caricarli nella stessa regione in cui desideri creare l'endpoint Client VPN. I seguenti comandi utilizzano il per caricare i certificati. AWS CLI Per caricare i certificati utilizzando la console ACM, consulta Importazione di un certificato nella Guida per l'utente di AWS Certificate Manager .
```
aws acm import-certificate \
    --certificate fileb://server.crt \ 
    --private-key fileb://server.key \
    --certificate-chain fileb://ca.crt
```
```
aws acm import-certificate \
    --certificate fileb://client1.domain.tld.crt \
    --private-key fileb://client1.domain.tld.key \
    --certificate-chain fileb://ca.crt
```
Non è necessario caricare il certificato client su ACM. Se i certificati server e client sono stati emessi dalla stessa certification authority (CA), quando crei l'endpoint Client VPN sarà possibile utilizzare l'ARN del certificato server sia per il server che per il client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

anchor anchor

Per generare i certificati e le chiavi server e client e caricarli in ACM

Clonare il repository OpenVPN easy-rsa sul computer locale e passare alla cartella easy-rsa/easyrsa3.
```
$ git clone https://github.com/OpenVPN/easy-rsa.git
```
```
$ cd easy-rsa/easyrsa3
```
Inizializzare un nuovo ambiente PKI.
```
$ ./easyrsa init-pki
```
Per creare una nuova autorità di certificazione (CA), eseguire questo comando e seguire le istruzioni.
```
$ ./easyrsa build-ca nopass
```

Generare il certificato e la chiave server.


$ ./easyrsa --san=DNS:server build-server-full server nopass

Generare il certificato e la chiave client.

Salvare il certificato e la chiave privata client perché saranno necessari quando si configura il client.
```
$ ./easyrsa build-client-full client1.domain.tld nopass
```
Facoltativamente, è possibile ripetere questa fase per ogni client (utente finale) che richiede un certificato client e una chiave.
Copiare il certificato e la chiave server e il certificato e la chiave client in una cartella personalizzata e quindi passare alla cartella personalizzata.

Prima di copiare i certificati e le chiavi, creare la cartella personalizzata utilizzando il comando mkdir. Nell'esempio seguente viene creata una cartella personalizzata nella directory home.
```
$ mkdir ~/custom_folder/
$ cp pki/ca.crt ~/custom_folder/
$ cp pki/issued/server.crt ~/custom_folder/
$ cp pki/private/server.key ~/custom_folder/
$ cp pki/issued/client1.domain.tld.crt ~/custom_folder
$ cp pki/private/client1.domain.tld.key ~/custom_folder/
$ cd ~/custom_folder/
```
Carica il certificato e la chiave server e il certificato e la chiave client in ACM. Assicurati di caricarli nella stessa regione in cui desideri creare l'endpoint Client VPN. I seguenti comandi utilizzano l'interfaccia a riga di comando di AWS CLI per caricare i certificati. Per caricare i certificati utilizzando la console ACM, consulta Importazione di un certificato nella Guida per l'utente di AWS Certificate Manager .
```
$ aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt
```
```
$ aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt
```
Non è necessario caricare il certificato client su ACM. Se i certificati server e client sono stati emessi dalla stessa certification authority (CA), quando crei l'endpoint Client VPN sarà possibile utilizzare l'ARN del certificato server sia per il server che per il client. Nei passaggi precedenti, per creare entrambi i certificati è stata utilizzata la stessa CA. Tuttavia, per completezza sono stati inclusi i passaggi per caricare il certificato client.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autenticazione reciproca

Rinnova il certificato del tuo server

Seleziona le tue preferenze relative ai cookie

Personalizza le tue preferenze relative ai cookie

Essenziali

Prestazione

Funzionali

Pubblicitari

Impossibile salvare le preferenze dei cookie

Abilita l'autenticazione reciproca per AWS Client VPN

Per generare i certificati e le chiavi server e client e caricarli in ACM

Per generare i certificati e le chiavi server e client e caricarli in ACM

Per generare i certificati e le chiavi server e client e caricarli in ACM

Questa pagina ti è stata utile?

Argomento successivo:

Argomento precedente:

Hai bisogno di aiuto?