Client-VPN-Umgebung einrichten und Verbindung zu einem VPN-Server herstellen

Nachdem Sie den VPN-Server mit dem neu erstellten Zertifikat erstellt haben, können Sie die VPN-Umgebung Ihrer Clients einrichten und konfigurieren, um eine Verbindung zum VPN-Server herzustellen. Abhängig von der Clientauthentifizierung, die Sie während der VPN-Serverbereitstellung ausgewählt haben, können Benutzer eine Verbindung zum VPN-Server unter Verwendung eines Clientzertifikats, einer Benutzer-ID mit Kenncode oder beidem herstellen.

1. Öffnen Sie die Detailseite des VPN-Servers und klicken Sie auf die Registerkarte Clients. Sie haben folgende Möglichkeiten:

   • Laden Sie die Clientprofilschablone (<vpn_server>.ovpn) herunter und fügen Sie Ihr Zertifikat und Ihren privaten Schlüssel hinzu.

   Oder

   • Nur für private Zertifikate können Sie entweder Alle Clientprofile auswählen, um ein Clientprofil mit einem zusammengeführten privaten Zertifikat und Schlüssel für alle Zertifikate herunterzuladen, oder Sie können ein oder mehrere Zertifikate auswählen und dann das Clientprofil mit einem zusammengeführten privaten Zertifikat und Schlüssel für ausgewählte Zertifikate herunterladen. Auf diese Weise können die Clientprofile mit dem OpenVPN-Client für Benutzer verwendet werden, ohne dass Schlüssel hinzugefügt oder Zertifikate manuell verteilt werden müssen.

     Nur ein Administrator mit Berechtigungen für VPN-Server und Secrets Manager kann Clientprofile herunterladen.

2. Verteilen Sie die Clientprofildatei an die VPN-Clientbenutzer und weisen Sie die Benutzer an, Folgendes auszuführen:

   Ein schrittweises Lernprogramm für den Client von VPN-Clientbenutzern finden Sie unter VPN-Client einrichten.

   • Herunterladen und Installieren eines OpenVPN-Clients. Eine Liste der unterstützten OpenVPN-Clients finden Sie unter Unterstützte VPN-Client-Software.

   • Bei einer Authentifizierung mit Benutzer-ID bitten Sie die Benutzer, einen IAM-Kenncode abzurufen. Entsprechende Anweisungen finden Sie unter Benutzer-IDs und Kenncodes konfigurieren.

   • Wenn Sie die zertifikatbasierte Authentifizierung verwenden, führen Sie einen der folgenden Schritte durch:

     • Wenn Sie ein privates Zertifikat verwenden und die Datei vpn-server-name.zip heruntergeladen haben, extrahieren Sie die ZIP-Datei und stellen Sie sicher, dass die .ovpn-Datei das zusammengeführte private Zertifikat und den Schlüssel enthält. Befolgen Sie anschließend die Anweisungen in der Datei .txt. VPN-Clientbenutzer müssen das Clientprofil nicht manuell ändern.

     • Andernfalls generieren und verteilen Sie das Clientzertifikat sicher an die VPN-Clientbenutzer. VPN-Clientbenutzer müssen das Clientprofil bearbeiten, um das Clientzertifikat zur Datei hinzuzufügen.

       Es gibt zwei Möglichkeiten, das Clientzertifikat am Ende des Clientprofils hinzuzufügen.

       • Option 1

       cert /path/client_public_key.crt
       key /path/client_private_key.key
       

       • Option 2

       <cert>
       -----BEGIN CERTIFICATE-----
       place your VPN client certificate
       -----END CERTIFICATE-----
       </cert>
       <key>
       -----BEGIN PRIVATE KEY-----
       place your VPN client private key
       -----END PRIVATE KEY-----
       </key>
       

     Wenn das VPN-Serverzertifikat von einer öffentlichen Zertifizierungsstelle bestellt wird, müssen Sie den Abschnitt <ca> mit dem öffentlichen CA-Zertifikat aktualisieren.

3. Stellen Sie über den OpenVPN-Client und die Konfigurationsdatei eine Verbindung zum VPN-Server her.

4. Um zu überprüfen, ob ein Client erfolgreich verbunden wurde, öffnen Sie die Detailseite des VPN-Servers. Klicken Sie dann auf die Registerkarte 'Clients', auf der alle in den letzten 5 Minuten verbundenen VPN-Clients angezeigt werden.

   Sie können auf das Menü 'Aktionen' klicken, um die Verbindung zu Clients zu trennen oder Clients zu löschen.