本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Client VPN 端点配置文件导出
<a name="cvpn-working-endpoint-export"></a>

 AWS Client VPN 端点配置文件是客户端（用户）用来与客户端 VPN 端点建立 VPN 连接的文件。您必须下载（导出）此文件并将其分发给所有需要访问 VPN 的客户端。或者，如果您已为 Client VPN 端点启用自助服务门户，客户端可以登录该门户并自行下载配置文件。有关更多信息，请参阅 [AWS Client VPN 访问自助服务门户](cvpn-self-service-portal.md)。

如果您的 Client VPN 端点使用双向身份验证，则您必须[将客户端证书和客户端私有密钥添加到您下载的 .ovpn 配置文件中](add-config-file-cert-key.md)。在您添加信息后，客户端可以将 .ovpn 文件导入到 OpenVPN 客户端软件中。

**重要**  
如果未将客户端证书和客户端私有密钥信息添加到该文件中，则使用双向身份验证进行身份验证的客户端将无法连接到 Client VPN 端点。

默认情况下，OpenVPN 客户端配置中的 “remote-random-hostname” 选项启用通配符 DNS。由于已启用通配符 DNS，因此客户端不会缓存端点的 IP 地址，并且您将无法对端点的 DNS 名称执行 ping 操作。

如果 Client VPN 端点使用 Active Directory 身份验证，并且您在分发客户端配置文件后在目录上启用了 Multi-Factor Authentication（MFA），则必须下载新文件并将其重新分发给客户端。客户端无法使用以前的配置文件连接到 Client VPN 端点。

**Topics**
+ [导出 客户端配置文件](export-client-config-file.md)
+ [针对双向身份验证添加客户端证书和密钥信息](add-config-file-cert-key.md)

# 导出 AWS Client VPN 客户机配置文件
<a name="export-client-config-file"></a>

可以使用控制台或 AWS CLI导出 Client VPN 客户端配置。

**导出客户端配置（控制台）**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Client VPN Endpoints**（Client VPN 终端节点）。

1. 选择要为其下载客户端配置的 Client VPN 端点，然后选择**下载客户端配置**。

**导出客户端配置 (AWS CLI)**  
使用 [export-client-vpn-client-config](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) uration 命令并指定输出文件名。

```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```

# 添加用于相互身份验证的 AWS Client VPN 客户端证书和密钥信息
<a name="add-config-file-cert-key"></a>

如果您的 Client VPN 端点使用双向身份验证，则您必须将客户端证书和客户端私有密钥添加到您下载的 .ovpn 配置文件中。

使用双向身份验证时，您无法修改客户端证书。

**添加客户端证书和密钥信息（双向身份验证）**  
您可以使用以下任一选项。

（选项 1）将客户端证书和密钥与 Client VPN 端点配置文件一起分发给客户端。在此情况下，请在该配置文件中指定证书和密钥的路径。使用您的首选文本编辑器打开该配置文件，并在文件末尾添加以下内容。*/path/*替换为客户端证书和密钥的位置（该位置相对于连接到端点的客户端）。

```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```

（选项 2）将 `<cert>``</cert>` 标记之间的客户端证书内容以及 `<key>``</key>` 标记之间的私有密钥内容添加到配置文件中。如果选择此选项，则只将配置文件分发给客户端。

如果您为将连接到 Client VPN 端点的每个用户生成了单独的客户端证书和密钥，请针对每个用户重复执行此步骤。

以下是包含客户端证书和密钥的 Client VPN 配置文件格式的示例。

```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0
```