AWS

AWSでClient VPNやってみた②

2021.01.28

前回の続き

今回はAWS CLIを使用してACMへの証明書アップロードとその続きを説明していこうと思います。

証明書をACMへアップロード

EC2にて発行した証明書をAWS CLIを使用して直接ACMへアップロードします。

#サーバ証明書をACMへ登録
aws acm import-certificate –certificate file://server.crt –private-key file://server.key –certificate-chain file://ca.crt –region ap-northeast-1

#秘密鍵をACMへ登録
aws acm import-certificate –certificate file://client1.domain.tld.crt –private-key file://client1.domain.tld.key –certificate-chain file://ca.crt –region ap-northeast-1

証明書を作成したEC2上にて上記のコマンドを実施します。

ACMへ無事インポートされたことを確認できます。

証明書のダウンロード

VPN接続の認証のために作成したクライアント証明書とキーファイルをローカル端末へ
格納します。
※必要なファイルは「client1.domain.tld.crt」と「client1.domain.tld.key」の２つ

#EC2にて証明書が格納されているディレクトリまで移動
cd /tmp/AWSClientVPN-key_01/

#証明書やキーが存在していることを確認
ls -l
total 28
-rw——- 1 ec2-user ec2-user 1172 Jan 26 13:23 ca.crt
-rw——- 1 ec2-user ec2-user 4460 Jan 26 13:23 client1.domain.tld.crt
-rw——- 1 ec2-user ec2-user 1704 Jan 26 13:23 client1.domain.tld.key
-rw——- 1 ec2-user ec2-user 4552 Jan 26 13:23 server.crt
-rw——- 1 ec2-user ec2-user 1704 Jan 26 13:23 server.key

#AWS CLIでS3へコピー
aws s3 cp ./client1.domain.tld.crt s3://awsvpnclient
aws s3 cp ./client1.domain.tld.key s3://awsvpnclient

#AWS CLIを実施後に以下の出力が表示されればOK
upload: ./client1.domain.tld.crt to s3://awsvpnclient/client1.domain.tld.crt
upload: ./client1.domain.tld.key to s3://awsvpnclient/client1.domain.tld.key

上記の通り、クライアント証明書とキーをEC2からS3へuploadを行った後に、
S3からdownloadを行うことで入手できます。

S3に証明書が格納できていることを確認できましたので、証明書をダウンロードします。

ClientVPN Endpointの設定

ClientVPN Endpointの作成を行っていきます。

「クライアントVPNエンドポイントの作成」をクリック

#設定項目
〇名前タグ：ClientVPN-Endpoint-01(任意の値)
〇説明：ClientVPN-Endpoint-01(任意の値)
〇クライアント IPv4 CIDR：10.100.0.0/20
→Client VPN Endpointの設定時にクライアントに割り当てるIPアドレスレンジを
予めCIDR形式で指定するのですが「/16～/22」の範囲での割り当てが必須です。
〇サーバ証明書ARN：ACMに登録したサーバ証明書のARNを選択
〇認証オプション：相互認証にチェックを入れる
〇クライアント証明書ARN：ACMに登録したクライアント証明のARNを選択
〇クライアント接続の詳細を記録しますか？：いいえを選択
〇VPC ID：VPN Endpointと関連付けるVPCを選択
〇「クライアントVPNエンドポイントの作成」をクリック