クライアント設定ファイルをエクスポートして設定する - AWS Client VPN
クライアント設定ファイルをエクスポートするクライアント証明書とキー情報を追加する (相互認証)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クライアント設定ファイルをエクスポートして設定する

クライアント VPN エンドポイント設定ファイルは、クライアント (ユーザー) がクライアント VPN エンドポイントとの VPN 接続を確立するために使用するファイルです。このファイルをダウンロード (エクスポート) し、VPN へのアクセスを必要とするすべてのクライアントに配布する必要があります。または、クライアント VPN エンドポイントのセルフサービスポータルを有効にした場合、クライアントはポータルにログインして、構成ファイルを自身でダウンロードできます。詳細については、「セルフサービスポータルにアクセスする」を参照してください。

クライアント VPN エンドポイントが相互認証を使用する場合は、ダウンロードする .ovpn 設定ファイルにクライアント証明書とクライアントプライベートキーを追加する必要があります。お客様が情報を追加した後、クライアントは .ovpn ファイルを OpenVPN クライアントソフトウェアにインポートできます。

重要

クライアント証明書とクライアントプライベートキー情報をファイルに追加しない場合、相互認証を使用して認証するクライアントはクライアント VPN エンドポイントに接続できません。

デフォルトでは、OpenVPN クライアント設定のremote-random-hostname「」オプションはワイルドカード DNS を有効にします。ワイルドカード DNS が有効になっているため、クライアントはエンドポイントの IP アドレスをキャッシュしません。そのため、エンドポイントの DNS 名に ping を実行することはできません。

クライアント VPN エンドポイントが Active Directory 認証を使用しており、クライアント設定ファイルの配布後にディレクトリで Multi-Factor Authentication (MFA) を有効にした場合は、新しいファイルをダウンロードしてクライアントに再配布する必要があります。クライアントは、以前の設定ファイルを使用してクライアント VPN エンドポイントに接続することはできません。

クライアント設定ファイルをエクスポートする

コンソールまたは AWS CLI を使用して、クライアント設定をエクスポートできます。

クライアント設定をエクスポートするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. クライアント設定をダウンロードするクライアント VPN エンドポイントを選択し、[クライアント設定のダウンロード] を選択します。

クライアント設定をエクスポートするには (AWS CLI)

export-client-vpn-client-configuration コマンドを使用して、出力ファイル名を指定します。

$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn

クライアント証明書とキー情報を追加する (相互認証)

クライアント VPN エンドポイントが相互認証を使用する場合は、ダウンロードする .ovpn 設定ファイルにクライアント証明書とクライアントプライベートキーを追加する必要があります。

相互認証を使用する場合は、クライアント証明書を変更できません。

クライアント証明書とキー情報を追加するには (相互認証)

次のオプションの 1 つを使用できます。

(オプション 1) クライアント証明書とキーを、クライアント VPN エンドポイント設定ファイルとともにクライアントに配布します。この場合、設定ファイルで証明書とキーへのパスを指定します。任意のテキストエディタを使用して設定ファイルを開き、以下をファイルの最後に追加します。/path/ をクライアント証明書とキーの場所に置き換えます (この場所は、エンドポイントに接続しているクライアントから見た相対的な位置です)。

cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key

(オプション 2) <cert></cert> タグ間のクライアント証明書の内容と、<key></key> タグ間のプライベートキーの内容を設定ファイルに追加します。このオプションを選択した場合、設定ファイルのみをクライアントに配布します。

クライアント VPN エンドポイントに接続するユーザーごとに個別のクライアント証明書とキーを生成した場合は、ユーザーごとにこのステップを繰り返します。

クライアント証明書とキーを含むクライアント VPN 設定ファイルの形式の例を次に示します。

client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0