使用AWS,我需要确保我有多个使用VPN网络的客户端。每个客户端将使用我之前创建的相同服务器证书。
现在使用this文档,我设法设置了自己的VPN,并能够使用生成的客户端证书连接到它。当然,这仅适用于一个客户。我需要完成3个操作。我无法共享它们之间的同一客户证书,因为我希望能够每人吊销该证书。
在配置VPN端点时,我注意到我必须使用“相互身份验证”,因为我们没有AD,也不会进行设置。这要求您在创建端点时提供客户端证书。
用于生成证书和密钥的文档指出:
仅当客户端证书的证书颁发机构(颁发者)与服务器证书的证书颁发机构(颁发者)不同时,才需要将客户端证书上载到ACM。
由于我只是使用亚马逊本身提到的easyrsa步骤创建了(客户端和服务器),因此我发现自己没有将客户端证书上传到ACM时无法创建端点,无论它显然不是需要上传。
这是否真的意味着我想让N个端点使用自己的证书时需要为每个用户设置N个不同的端点?在我看来,这是一项艰巨的任务,尤其是当您拥有3个以上的用户时。文档中提到了这一点:
您可以为将连接到客户端VPN 端点的每个客户端创建单独的客户端证书和密钥。
(重点是我的)
注意单个“端点”而不是复数吗?谁能阐明我可能会想念的东西?
答案 0 :(得分:6)
为VPN使用“相互身份验证”选项时(具有与CA中相同问题的限制),然后是,这3个客户端证书中的每一个都应能够连接到同一端点,而无需上载每个客户端证书到ACM。