1. HOME
  2. ブログ
  3. AWS
  4. AWSでClient VPNやってみた②

BLOG

ブログ

AWS

AWSでClient VPNやってみた②

前回の続き

今回はAWS CLIを使用してACMへの証明書アップロードとその続きを説明していこうと思います。

証明書をACMへアップロード

EC2にて発行した証明書をAWS CLIを使用して直接ACMへアップロードします。

#サーバ証明書をACMへ登録
aws acm import-certificate –certificate file://server.crt –private-key file://server.key –certificate-chain file://ca.crt –region ap-northeast-1

#秘密鍵をACMへ登録
aws acm import-certificate –certificate file://client1.domain.tld.crt –private-key file://client1.domain.tld.key –certificate-chain file://ca.crt –region ap-northeast-1

証明書を作成したEC2上にて上記のコマンドを実施します。

ACMへ無事インポートされたことを確認できます。

証明書のダウンロード

VPN接続の認証のために作成したクライアント証明書とキーファイルをローカル端末へ
格納します。
※必要なファイルは「client1.domain.tld.crt」と「client1.domain.tld.key」の2つ

#EC2にて証明書が格納されているディレクトリまで移動
cd /tmp/AWSClientVPN-key_01/

#証明書やキーが存在していることを確認
ls -l
total 28
-rw——- 1 ec2-user ec2-user 1172 Jan 26 13:23 ca.crt
-rw——- 1 ec2-user ec2-user 4460 Jan 26 13:23 client1.domain.tld.crt
-rw——- 1 ec2-user ec2-user 1704 Jan 26 13:23 client1.domain.tld.key
-rw——- 1 ec2-user ec2-user 4552 Jan 26 13:23 server.crt
-rw——- 1 ec2-user ec2-user 1704 Jan 26 13:23 server.key

#AWS CLIでS3へコピー
aws s3 cp ./client1.domain.tld.crt s3://awsvpnclient
aws s3 cp ./client1.domain.tld.key s3://awsvpnclient

#AWS CLIを実施後に以下の出力が表示されればOK
upload: ./client1.domain.tld.crt to s3://awsvpnclient/client1.domain.tld.crt
upload: ./client1.domain.tld.key to s3://awsvpnclient/client1.domain.tld.key

上記の通り、クライアント証明書とキーをEC2からS3へuploadを行った後に、
S3からdownloadを行うことで入手できます。

S3に証明書が格納できていることを確認できましたので、証明書をダウンロードします。

ClientVPN Endpointの設定

ClientVPN Endpointの作成を行っていきます。

「クライアントVPNエンドポイントの作成」をクリック

#設定項目
〇名前タグ:ClientVPN-Endpoint-01(任意の値)
〇説明:ClientVPN-Endpoint-01(任意の値)
〇クライアント IPv4 CIDR:10.100.0.0/20
→Client VPN Endpointの設定時にクライアントに割り当てるIPアドレスレンジを
予めCIDR形式で指定するのですが「/16~/22」の範囲での割り当てが必須です。
〇サーバ証明書ARN:ACMに登録したサーバ証明書のARNを選択
〇認証オプション:相互認証にチェックを入れる
〇クライアント証明書ARN:ACMに登録したクライアント証明のARNを選択
〇クライアント接続の詳細を記録しますか?:いいえを選択
〇VPC ID:VPN Endpointと関連付けるVPCを選択
〇「クライアントVPNエンドポイントの作成」をクリック

ClientVPN Endpointが作成できました。

サブネットの関連付け

「関連付け」タブの「関連付け」をクリック

ClientVPNと関連付ける VPC とサブネットを選択し、「関連付け」をクリック
状態が「使用可能」となるまで結構待ちます。

10分ほど経過したところで関連付けされました。なお、サブネットの関連付けをおこなったところから費用が発生します。

「認証」タブより「受信の承認」をクリック

VPN接続後のアクセス有効先NWを記載し、認証ルールの追加をクリック

状態が「アクティブ」になるまで待ちます。
これでVPNエンドポイントの設定は完了となります。

次はVPN接続を行う端末の設定

次回はVPN接続を行うPCへの設定を行っていきます。

関連記事