设置客户端 VPN 环境并连接到 VPN 服务器

使用新创建的证书创建 VPN 服务器后，可以设置和配置客户机的 VPN 环境以连接到 VPN 服务器。 根据您在 VPN 服务器供应期间选择的客户机认证，用户可以使用客户机证书和/或具有密码的用户标识来连接到 VPN 服务器。

1. 打开 VPN 服务器的详细信息页面，单击客户端选项卡。 您可以：

   • 下载客户机概要文件模板 (<vpn_server>.ovpn) 并添加证书和专用密钥。

   或

   • 仅对于专用证书，可以选择 所有客户机概要文件 以下载具有已合并的专用证书和所有证书的密钥的客户机概要文件，也可以选择一个或多个证书，然后下载具有已合并的专用证书和所选证书的密钥的客户机概要文件。 这样，客户机概要文件就可以与用户的 OpenVPN 客户机配合使用，而不必手动添加密钥或分发证书。

     只有具有 VPN 服务器和 Secrets Manager 许可权的管理员才能下载客户机概要文件。

2. 将客户机概要文件分发给 VPN 客户机用户，并指示用户执行以下操作:

   设置 VPN 客户端 中提供了针对 VPN 客户端用户客户端的逐步教程。

   • 下载并安装 OpenVPN 客户端。 有关受支持的 OpenVPN 客户机的列表，请参阅 受支持的 VPN 客户机软件。

   • 如果使用基于用户标识的认证，请要求用户获取 IAM 验证码。 有关指示信息，请参阅 配置用户标识和密码。

   • 如果使用基于证书的认证，请执行下列其中一项操作:

     • 如果您正在使用专用证书并下载了 vpn-server-name.zip 文件，请解压缩 zip 文件，确保 .ovpn 文件包含合并的专用证书和密钥，然后遵循 .txt 文件中的指示信息。 VPN 客户端用户不需要手动修改客户端概要文件。

     • 否则，请安全地生成客户机证书并将其分发给 VPN 客户机用户。 VPN 客户端用户必须编辑客户端概要文件以将客户端证书添加到文件中。

       有两种方法可将客户机证书添加到客户机概要文件的末尾。

       • 选项 1

       cert /path/client_public_key.crt
       key /path/client_private_key.key
       

       • 选项 2

       <cert>
       -----BEGIN CERTIFICATE-----
       place your VPN client certificate
       -----END CERTIFICATE-----
       </cert>
       <key>
       -----BEGIN PRIVATE KEY-----
       place your VPN client private key
       -----END PRIVATE KEY-----
       </key>
       

     如果 VPN 服务器证书是从公共 CA 订购的，那么必须使用公共 CA 证书更新 <ca> 部分。

3. 使用 OpenVPN 客户端和配置文件连接到 VPN 服务器。

4. 要验证客户机是否已成功连接，请打开 VPN 服务器的详细信息页面。 然后，单击“客户机”选项卡以查看过去 5 分钟内所有已连接的 VPN 客户机。

   您可以单击操作菜单 来断开或删除客户端。