インターネットアクセスなしで (意図的に) VPC への直接 VPN 接続をセットアップするために、AWS ACM でプライベート認証局 (CA) をセットアップしようとしています。 https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html
そのため、VPN クライアントの構成では、サーバー証明書の ARN を取得する必要があります。をセットアップするために、プライベート CA のセットアップを試みましたClient VPN Endpoint。
現在、ACM でプライベート CAを作成しましたが、次のことを行う必要があります。
CA 証明書をインポートして、CA を有効にします。
ここで何が起こっているのか少しわかりません。現時点では私だけなので、次のことを行いました。
(このリンクをたどる: https://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309 )
ローカル PC:
ルート CA 秘密鍵を作成します。
openssl genrsa -des3 -out rootCA.key 4096Root Certificateローカル PC で「 」を作成して自己署名します。openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crtAWS Service CertificateCA ルート キー (プライベート キー)/ルート証明書と AWS 発行の CSR を使用して、AWS サービス " " の証明書を生成します。
openssl x509 -req -in AWS-PRIVATE-CSR.pem -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out service.aws.crt -days 500 -sha256
次に、AWS ACM コンソールから:
Import CA Certificateダイアログから:- 証明書の本文
AWS Service Certificateとして「 」を追加します Root Certificate" " を証明書チェーンとして追加します
- 証明書の本文
この時点で、[確認してインポート] をクリックするとエラーが表示されます。
CertificateMismatchException 証明書のバージョンは 3 以上である必要があります。
生成された " AWS Service Certificate" のバージョンを次のコマンドで確認したところ、 Version 1と表示されました。
openssl x509 -in service.aws.crt -text -noout
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
...
どうやらここで何か間違ったことをしているようですが、それが何であるかを見つけることができないようです。現在の AWS エラーを解決するには、私の質問は次のとおりです。
Version: 3ルートキー/証明書と AWS CSR を使用して証明書を生成するにはどうすればよいですか?
または、インターネットにアクセスせずに VPC に接続する最良の方法は何ですか? VPC <-> VPC 接続をセットアップする方が簡単な場合は、SSH 経由で他の VPC にアクセスできます。