In questo video vedremo come creare i certificati e le chiavi provate per configurare l’endpoint Client VPN di Amazon Web Services.
EasyRSA ci permette di creare tutti i file necessari con pochi comandi.
Dopo che abbiamo creato il certificato e la chiave pubblica per il client, il certificato e la chiave pubblica per il server e il certificato per la CA, li importeremo nel servizio AES Certificate Manager.
Le istruzioni con tutti i comandi li trovate al seguente indirizzo: https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/mutual.html.
Potete scaricare lo strumento EasyRSA dal seguente link: https://github.com/OpenVPN/easy-rsa/releases EasyRSA Può essere installato anche durante l’installazione del client OpenVPN che potete scaricare al seguente indirizzo: https://openvpn.net/community-downloads/
Come creare l’Endpoint Client VPN di AWS
In questo video vedremo come creare i certificati per l’autenticazione reciproca client e server per una connessione Client VPN di Amazon Web Services.
Questa è la pagina dove potete trovare tutte le istruzioni necessarie, vi lascio il link nella descrizione.
La prima cosa da fare è creare i certificati.
vai al minuto 0:00:19
Nella pagina troverete tutti i comandi sia per Linux e macOS, sia per Windows.
Lo strumento che ci permette di creare facilmente tutti i certificati è EasyRSA.
E qui trovate anche il link per poterlo scaricare, ma non utilizzeremo questo, perché lo installeremo con il client OpenVPN.
vai al minuto 0:00:38
Quindi, andiamo nella pagina di download di OpenVPN, nella descrizione vi lascio anche questo link.
Io andrò a utilizzare Windows 10 per cui sceglierò l’installatore per Windows 64-bit.
Apriamo la cartella di destinazione.
Doppio click per avviare il programma d’installazione.
vai al minuto 0:01:02
Nella prima schermata dobbiamo cliccare sul tasto più piccolo, Customize.
Scorriamo in basso fino a trovare le Utilities OpenSSL e scegliamo di installarle tutte.
Come vedere c’è proprio EasyRSA.
Ora possiamo avviare l’installazione.
vai al minuto 0:01:28
Questo messaggio ci dice che non ha trovato nessun file di configurazione, lo forniremo in seguito, premiamo pure OK.
Sulla destra ho lasciato aperta la cartella in cui è stato installato EasyRSA, in modo da vedere le cartelle che verranno create.
Avviamo il Command Prompt come amministratore.
vai al minuto 0:01:48
Con il programma selezionato potete premete i tasti Ctrl+shift e invio per aprire il programma come Administrator.
Con il comando CD ci dobbiamo spostare nella cartella di EasyRSA.
Possiamo copiare il percorso della cartella direttamente dalla finestra di esplora risorse.
vai al minuto 0:02:07
Nel Command Prompt digitiamo cd e poi clicchiamo con il tasto destro per incollare la stringa, tasto invio per eseguire.
Ora dobbiamo copiare i comandi dalla finestra del browser e incollarli nel Command Prompt.
Con il primo avviamo il programma EasyRSA.
vai al minuto 0:02:26
Il comando init-pki serve per creare la cartella pki in cui andrà a salvare i certificati che verranno generati con i prossimi comandi.
Ingrandisco la finestra per vedere meglio il risultato dei comandi.
Il comando build-ca serve per creare una nuova Autorità di certificazione.
vai al minuto 0:02:48
Dategli il nome che volete, io la chiamo CAVPN.
L’Autorità di certificazione servirà per poter creare i certificati client e server.
Il passaggio numero 6 andrà a generare il certificato per il server.
Il parametro nopass ci permette di non dover inserire una password.
vai al minuto 0:03:10
Confermiamo con yes.
L’ultimo comando andrà a creare il certificato per il client.
Anche qua dobbiamo confermare con yes.
Exit per uscire dal programma.
Nella cartella pki troviamo tutti i file di cui abbiamo bisogno.
Il certificato dell’autority è ca.crt.
vai al minuto 0:03:35
Per vedere le estensioni dei file apro le opzioni di visualizzazione della cartella e abilito la visualizzazione delle estensioni dei file conosciuti.
I certificati server e client li troviamo nella cartella issued.
E Le chiavi private si trovano nella cartella private.
Qua ci servono solo le chiavi private server e client.
vai al minuto 0:04:04
Il passo successivo è importare i certificati nel servizio ACM di Amazon Web Services.
Qui trovate anche i comandi per importare i certificati con AWS CLI se non volete farlo manualmente.
Inoltre, come viene riportato qui sotto, non è necessario importare i certificato del client se questo è stato rilasciato dalla stessa CA del certificato server e se durante la creazione dell’Endpoint della VPN specifichiamo il certificato server anche per il client.
vai al minuto 0:04:37
In questo video utilizzerò anche il certificato del client.
Sulla destra ho la cartella con i 5 file da importare.
Nella console AWS cerchiamo certificate Manager.
Clicchiamo su importa.
Apriamo il certificato del client con il Blocco note e copiamo tutto il suo contenuto.
vai al minuto 0:05:00
Incolliamo il contenuto nel certificate body.
Eliminate il carattere a capo al termine del certificato.
La stessa cosa lo facciamo per la chiave privata del client.
Nell’ultimo campo inseriamo il certificato della CA.
vai al minuto 0:05:33
Accertatevi di aver eliminato il carattere a capo al termine del certificato.
Clicchiamo su Next.
Non inseriamo nessun Tag.
Next.
Qui abbiamo il resoconto di tutti i passaggi, se vogliamo modificate qualche passaggio possiamo usare il tasto edit.
Possiamo importare il certificato.
vai al minuto 0:05:52
Aggiorniamo la tabella per vedere il certificato appena importato.
Ora importiamo quello del server.
Incolliamo prima il certificato della CA perché è l’ultimo che abbiamo copiato ed è ancora presente negli appunti.
Inseriamo il certificato del server e poi la chiave privata.
vai al minuto 0:06:17
Next.
Next.
E import per terminare.
Aggiorniamo la tabella.
Questo è il certificato per il server e questo è per il client.
