기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 상호 인증을 활성화합니다. AWS Client VPN
Linux/macOS 또는 Windows의 VPN 클라이언트에서 상호 인증을 활성화할 수 있습니다.
- Linux/macOS
-
다음 절차에서는 Open VPN easy-rsa를 사용하여 서버 및 클라이언트 인증서와 키를 생성한 다음 서버 인증서와 키를 업로드합니다. ACM 자세한 내용은 Easy
- 3 퀵스타트를 참조하십시오. RSA README 서버 및 클라이언트 인증서와 키를 생성하여 업로드하려면 ACM
-
Open VPN easy-rsa 리포지토리를 로컬 컴퓨터에 복제하고 해당 폴더로 이동합니다.
easy-rsa/easyrsa3
$
git clone https://github.com/OpenVPN/easy-rsa.git$
cd easy-rsa/easyrsa3 -
새 환경을 초기화하세요. PKI
$
./easyrsa init-pki -
새 CA(인증 기관)를 빌드하려면 이 명령을 실행하고 표시되는 메시지를 따릅니다.
$
./easyrsa build-ca nopass -
서버 인증서 및 키를 생성합니다.
$
./easyrsa --san=DNS:server build-server-full server nopass -
클라이언트 인증서 및 키를 생성합니다.
클라이언트를 구성할 때 필요하므로 클라이언트 인증서와 클라이언트 프라이빗 키를 저장해야 합니다.
$
./easyrsa build-client-full client1.domain.tld nopass클라이언트 인증서와 키가 필요한 각 클라이언트(최종 사용자)에 대해 이 단계를 선택적으로 반복할 수 있습니다.
-
서버 인증서 및 키 그리고 클라이어트 인증서 및 키를 사용자 지정 폴더에 복사한 후 해당 폴더로 이동합니다.
인증서 및 키를 복사하기 전에
mkdir
명령을 사용하여 사용자 지정 폴더를 만듭니다. 다음 예제에서는 홈 디렉터리에 사용자 지정 폴더를 만듭니다.$
mkdir ~/custom_folder
/$
cp pki/ca.crt ~/custom_folder
/$
cp pki/issued/server.crt ~/custom_folder
/$
cp pki/private/server.key ~/custom_folder
/$
cp pki/issued/client1.domain.tld.crt ~/custom_folder
$
cp pki/private/client1.domain.tld.key ~/custom_folder
/$
cd ~/custom_folder
/ -
서버 인증서와 키, 클라이언트 인증서 및 키를 에 ACM 업로드합니다. 클라이언트 VPN 엔드포인트를 생성하려는 지역과 동일한 지역에 업로드해야 합니다. 다음 명령은 AWS CLI 를 사용하여 인증서를 업로드합니다. 대신 ACM 콘솔을 사용하여 인증서를 업로드하려면 사용 AWS Certificate Manager 설명서의 인증서 가져오기를 참조하십시오.
$
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt$
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt클라이언트 인증서를 에 업로드할 필요는 없습니다ACM. 동일한 CA (인증 기관) 에서 서버 및 클라이언트 인증서를 발급한 경우 클라이언트 VPN 엔드포인트를 만들 때 서버와 클라이언트 ARN 모두에 대해 서버 인증서를 사용할 수 있습니다. 위에서 설명한 단계에서는 동일한 CA를 사용하여 두 가지 인증서를 모두 생성했습니다. 그러나 완전성을 위해 클라이언트 인증서를 업로드하는 단계가 포함됩니다.
-
- Windows
-
다음 절차는 Easy- RSA 3.x 소프트웨어를 설치하고 이를 사용하여 서버 및 클라이언트 인증서와 키를 생성합니다.
서버 및 클라이언트 인증서와 키를 생성하여 업로드하려면 ACM
-
Easy RSA 릴리스
페이지를 열고 사용 중인 Windows 버전용 ZIP 파일을 다운로드하고 압축을 풉니다. -
명령 프롬프트를 열고
EasyRSA-3.x
폴더가 추출된 위치로 이동합니다. 다음 명령을 실행하여 Easy RSA 3 셸을 엽니다.
C:\Program Files\EasyRSA-3.x>
.\EasyRSA-Start.bat-
새 PKI 환경을 초기화합니다.
#
./easyrsa init-pki -
새 CA(인증 기관)를 빌드하려면 이 명령을 실행하고 표시되는 메시지를 따릅니다.
#
./easyrsa build-ca nopass -
서버 인증서 및 키를 생성합니다.
#
./easyrsa --san=DNS:server build-server-full server nopass -
클라이언트 인증서 및 키를 생성합니다.
#
./easyrsa build-client-full client1.domain.tld nopass클라이언트 인증서와 키가 필요한 각 클라이언트(최종 사용자)에 대해 이 단계를 선택적으로 반복할 수 있습니다.
-
Easy RSA 3 셸을 종료합니다.
#
exit -
서버 인증서 및 키 그리고 클라이어트 인증서 및 키를 사용자 지정 폴더에 복사한 후 해당 폴더로 이동합니다.
인증서 및 키를 복사하기 전에
mkdir
명령을 사용하여 사용자 지정 폴더를 만듭니다. 다음 예제에서는 C:\ 드라이브에 사용자 지정 폴더를 만듭니다.C:\Program Files\EasyRSA-3.x>
mkdir C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\ca.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\issued\server.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\private\server.key C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\issued\client1.domain.tld.crt C:\custom_folder
C:\Program Files\EasyRSA-3.x>
copy pki\private\client1.domain.tld.key C:\custom_folder
C:\Program Files\EasyRSA-3.x>
cd C:\custom_folder
-
서버 인증서와 키, 클라이언트 인증서 및 키를 ACM 업로드합니다. 클라이언트 VPN 엔드포인트를 생성하려는 지역과 동일한 지역에 업로드해야 합니다. 다음 명령은 AWS CLI 를 사용하여 인증서를 업로드합니다. 대신 ACM 콘솔을 사용하여 인증서를 업로드하려면 사용 AWS Certificate Manager 설명서의 인증서 가져오기를 참조하십시오.
aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt
aws acm import-certificate \ --certificate fileb://client1.domain.tld.crt \ --private-key fileb://client1.domain.tld.key \ --certificate-chain fileb://ca.crt
클라이언트 인증서를 에 업로드할 필요는 없습니다ACM. 동일한 CA (인증 기관) 에서 서버 및 클라이언트 인증서를 발급한 경우 클라이언트 VPN 엔드포인트를 만들 때 서버와 클라이언트 ARN 모두에 대해 서버 인증서를 사용할 수 있습니다. 위에서 설명한 단계에서는 동일한 CA를 사용하여 두 가지 인증서를 모두 생성했습니다. 그러나 완전성을 위해 클라이언트 인증서를 업로드하는 단계가 포함됩니다.
-