本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Client VPN 端點組態檔案匯出
<a name="cvpn-working-endpoint-export"></a>

 AWS Client VPN 端點組態檔案是用戶端 （使用者） 用來與 Client VPN 端點建立 VPN 連線的檔案。您必須下載 (匯出) 此檔案，並分發給所有需要存取 VPN 的用戶端。或者，如果您為 Client VPN 端點啟用自助式入口網站，用戶端可以登入入口網站並自行下載組態檔案。如需詳細資訊，請參閱[AWS Client VPN 存取自助式入口網站](cvpn-self-service-portal.md)。

如果您的 Client VPN 端點使用交互身分驗證，您必須[將用戶端憑證和用戶端私有金鑰新增至您下載的 .ovpn 組態檔案](add-config-file-cert-key.md)。在您新增資訊之後，用戶端可以將 .ovpn 檔案匯入到 OpenVPN 用戶端軟體。

**重要**  
如果您未將用戶端憑證和用戶端私有金鑰資訊新增至檔案，則使用交互身分驗證進行驗證的用戶端將無法連線至 Client VPN 端點。

根據預設，OpenVPN 用戶端組態中的「remote-random-hostname」選項會啟用萬用字元 DNS。由於萬用字元 DNS 已啟用，用戶端不會快取端點的 IP 地址，而您將無法以 Ping 偵測端點的 DNS 名稱。

如果您的 Client VPN 端點使用 Active Directory 身分驗證，而且您在發佈用戶端組態檔案之後，在目錄上啟用了多重要素驗證 (MFA)，則必須下載新檔案並將其重新發佈至用戶端。用戶端無法使用先前的組態檔案連線到 Client VPN 端點。

**Topics**
+ [匯出用戶端組態檔](export-client-config-file.md)
+ [為交互身分驗證新增用戶端憑證和金鑰資訊](add-config-file-cert-key.md)

# 匯出 AWS Client VPN 用戶端組態檔案
<a name="export-client-config-file"></a>

您可以使用 主控台或 匯出 Client VPN 用戶端組態 AWS CLI。

**匯出用戶端組態 (主控台)**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Client VPN Endpoints** (Client VPN 端點)。

1. 選擇要下載用戶端組態的 Client VPN 端點，然後選擇 **Download Client Configuration** (下載用戶端組態)。

**匯出用戶端組態 (AWS CLI)**  
使用 [export-client-vpn-client-configuration](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-configuration.html) 命令，並指定輸出檔案名稱。

```
$ aws ec2 export-client-vpn-client-configuration --client-vpn-endpoint-id endpoint_id --output text>config_filename.ovpn
```

# 為交互身分驗證新增 AWS Client VPN 用戶端憑證和金鑰資訊
<a name="add-config-file-cert-key"></a>

如果您的 Client VPN 端點使用交互身分驗證，您必須將用戶端憑證和用戶端私有金鑰新增至您下載的 .ovpn 組態檔案。

當您使用相互身分驗證時，無法修改用戶端憑證。

**新增用戶端憑證和金鑰資訊 (交互身分驗證)**  
您可以使用下列其中一個選項。

(選項 1) 將用戶端憑證和金鑰與 Client VPN 端點組態檔案一起發佈給用戶端。在此情況下，請在組態檔案中指定憑證和金鑰的路徑。使用您偏好的文字編輯器開啟組態檔案，並將以下內容新增到檔案尾端。以用戶端憑證和金鑰的位置取代 */path/* (位置是相對於連線至端點的用戶端)。

```
cert /path/client1.domain.tld.crt
key /path/client1.domain.tld.key
```

(選項 2) 將 `<cert>``</cert>` 標籤之間的用戶端憑證內容與 `<key>``</key>` 標籤之間的私有金鑰內容新增至組態檔案。如果您選擇此選項，則只會將組態檔案分發給用戶端。

如果您為要連線至 Client VPN 端點的每個使用者都產生了個別的用戶端憑證和金鑰，請為每個使用者重複此步驟。

以下是包含用戶端憑證和金鑰的 Client VPN 組態檔案格式範例。

```
client
dev tun
proto udp
remote cvpn-endpoint-0011abcabcabcabc1.prod.clientvpn.eu-west-2.amazonaws.com 443
remote-random-hostname
resolv-retry infinite
nobind
remote-cert-tls server
cipher AES-256-GCM
verb 3

<ca>
Contents of CA
</ca>

<cert>
Contents of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>

reneg-sec 0
```