本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 相互认证 AWS Client VPN 借助双向身份验证,Client VPN 使用证书在客户端和服务器之间执行身份验证。证书是由证书颁发机构(CA)颁发的数字化身份。当客户端尝试连接到 Client VPN 端点时,服务器使用客户端证书对客户端进行身份验证。您必须创建服务器证书和密钥,以及至少一个客户端证书和密钥。 您必须将服务器证书上传到 AWS Certificate Manager (ACM),并在创建 Client VPN 端点时指定该证书。将服务器证书上载到 ACM 时,还需要指定证书颁发机构 (CA)。如果客户端证书的 CA 与服务器证书的 CA 不同,您只需将客户端证书上传到 ACM。有关 ACM 的更多信息,请参阅 [AWS Certificate Manager 用户指南](https://docs.aws.amazon.com/acm/latest/userguide/)。 您可以为将连接到 Client VPN 端点的每个客户端创建单独的客户端证书和密钥。这使您能够在用户退出组织时撤销特定的客户端证书。在这种情况下,当您创建 Client VPN 端点时,可以为客户端证书指定服务器证书 ARN,前提是客户端证书与服务器证书是由相同 CA 颁发的。 AWS Client VPN 中使用的证书必须符合 [RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile](https://datatracker.ietf.org/doc/html/rfc5280) 中的规定,包括备忘录第 4.2 节中指定的证书扩展。 **注意** Client VPN 端点仅支持 1024 位和 2048 位 RSA 密钥大小。此外,客户端证书的“主题”字段中必须具有 CN 属性。 更新 Client VPN 服务所用的证书(无论是通过 ACM 自动轮换、手动导入新证书还是更新 IAM Identity Center 元数据)时,Client VPN 服务将自动使用较新的证书更新 Client VPN 端点。这是一个自动化流程,最多可能需要 5 个小时。 **Topics** + [启用双向身份验证](client-auth-mutual-enable.md) + [续订您的服务器证书](mutual-renew.md)