本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
导出和配置客户端配置文件
客户端 VPN 终端节点配置文件是客户端(用户)用来与客户端 VPN 终端节点建立 VPN 连接的文件。您必须下载(导出)此文件并将其分发给所有需要访问 VPN 的客户端。或者,如果您已为客户端 VPN 终端节点启用了自助服务门户,客户端可以登录门户并自行下载配置文件。有关更多信息,请参见 访问自助服务门户。
如果您的客户端 VPN 终端节点使用双向身份验证,则您必须将客户端证书和客户端私有密钥添加到您下载的 .ovpn 配置文件中。在您添加信息后,客户端可以将 .ovpn 文件导入到 OpenVPN 客户端软件中。
重要
如果未将客户端证书和客户端私有密钥信息添加到该文件中,则使用双向身份验证进行身份验证的客户端将无法连接到客户端 VPN 终端节点。
默认情况下,OpenVPN 客户端配置中的 “remote-random-hostname” 选项启用通配符 DNS。由于已启用通配符 DNS,因此客户端不会缓存终端节点的 IP 地址,并且您将无法对终端节点的 DNS 名称执行 ping 操作。
如果客户端 VPN 终端节点使用 Active Directory 身份验证,并且您在分发客户端配置文件后在目录上启用了 Multi-Factor Authentication (MFA),则必须下载新文件并将其重新分发给客户端。客户端无法使用以前的配置文件连接到客户端 VPN 终端节点。
导出客户端配置文件
您可以使用控制台或 AWS CLI 导出客户端配置。
导出客户端配置(控制台)
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。
-
选择要为其下载客户端配置的客户端 VPN 终端节点,然后选择下载客户端配置。
导出客户端配置 (AWS CLI)
使用 export-client-vpn-client-config
$aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-idendpoint_id--output text>config_filename.ovpn
添加客户端证书和密钥信息(双向身份验证)
如果您的客户端 VPN 终端节点使用双向身份验证,则您必须将客户端证书和客户端私有密钥添加到您下载的 .ovpn 配置文件中。
使用双向身份验证时,您无法修改客户端证书。
添加客户端证书和密钥信息(双向身份验证)
您可以使用以下任一选项。
(选项 1)将客户端证书和密钥与客户端 VPN 终端节点配置文件一起分发给客户端。在此情况下,请在该配置文件中指定证书和密钥的路径。使用您的首选文本编辑器打开该配置文件,并在文件末尾添加以下内容。将 /path/ 替换为客户端证书和密钥的位置(该位置相对于连接到终端节点的客户端)。
cert /path/client1.domain.tld.crt key /path/client1.domain.tld.key
(选项 2)将 <cert></cert> 标记之间的客户端证书内容以及 <key></key> 标记之间的私有密钥内容添加到配置文件中。如果选择此选项,则只将配置文件分发给客户端。
如果您为将连接到客户端 VPN 终端节点的每个用户生成了单独的客户端证书和密钥,请针对每个用户重复执行此步骤。
以下是包含客户端证书和密钥的客户端 VPN 配置文件格式的示例。
client dev tun proto udp remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443 remote-random-hostname resolv-retry infinite nobind remote-cert-tls server cipher AES-256-GCM verb 3 <ca>Contents of CA</ca> <cert>Contents of client certificate (.crt) file</cert> <key>Contents of private key (.key) file</key> reneg-sec 0
