【发布时间】:2020-05-09 19:22:23
【问题描述】:
使用 AWS,我需要确保有多个客户端使用 VPN 网络。每个客户端都将使用我之前创建的相同服务器证书。
现在使用this 文档,我设法设置了自己的VPN,并能够使用生成的客户端证书连接到它。当然,这仅适用于一位客户。我需要为 3 完成此操作。我不能在他们之间共享相同的客户端证书,因为我希望能够撤销每个人的证书。
在配置 VPN 端点时,我注意到我必须使用“相互身份验证”,因为我们没有 AD,也不会设置一个。这要求您在创建端点时提供客户端证书。
生成证书和密钥的文档说明了这一点:
仅当客户端证书的证书颁发机构(颁发者)与服务器证书的证书颁发者(颁发者)不同时,您才需要将客户端证书上传到 ACM。
由于我刚刚使用亚马逊本身提到的 easyrsa 步骤创建了(客户端和服务器),当我没有将客户端证书上传到 ACM 时,我发现自己无法创建端点,不管它显然不是需要上传。
这是否真的意味着当我想让他们使用自己的证书时,我需要设置 N 个不同的端点(为每个用户)?对我来说,这听起来是一项相当繁重的任务,尤其是在您拥有超过 3 个用户的情况下。文档中提到了这一点:
您可以为将连接到客户端 VPN 端点的每个客户端创建单独的客户端证书和密钥。
(强调我的)
注意单个“端点”而不是复数?任何人都可以阐明我可能遗漏的内容吗?
【问题讨论】:
-
我同意你的理解。 3 个客户端证书中的每一个都应该能够连接到同一个端点,而无需将每个客户端证书上传到 ACM。您无法确认该行为吗?