2

我正在尝试在 AWS ACM 中设置私有证书颁发机构 (CA),以便在没有 Internet 访问权限的情况下(故意)设置与 VPC 的直接 VPN 连接。 https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html

因此,在 VPN 客户端配置中,我需要获取服务器证书 ARN。这就是我尝试设置私有 CA 以设置Client VPN Endpoint.

目前,我已经在 ACM 中创建了私有 CA,但需要:

导入 CA 证书以激活您的 CA。

我有点不清楚这里发生了什么。目前只有我一个人,所以我做了以下事情:

(以下链接:https ://gist.github.com/fntlnz/cf14feb5a46b2eda428e000157447309 )

在本地 PC 上:

  1. 创建根 CA 私钥:

    openssl genrsa -des3 -out rootCA.key 4096

  2. Root Certificate在本地电脑上创建并自签名“ ”:

    openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt
    1. 使用 CA Root key(Private Key)/Root Certificate 和 AWS 颁发的 CSR生成 AWS 服务的证书“ AWS Service Certificate”:
    openssl x509 -req -in AWS-PRIVATE-CSR.pem -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out service.aws.crt -days 500 -sha256

然后从 AWS ACM 控制台:

  1. Import CA Certificate对话框中:

    • 添加“ AWS Service Certificate”作为证书正文
    • 添加“ Root Certificate”作为证书链

此时单击“确认并导入”时出现错误:

CertificateMismatchException 证书版本必须大于或等于 3。

AWS Service Certificate我使用以下命令检查了生成的“”版本,它显示为Version 1

openssl x509 -in service.aws.crt -text -noout
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:
    ...

所以显然我在这里做错了什么,但我似乎无法找到它是什么。要解决当前的 AWS 错误,我的问题是:

  • 如何Version: 3使用根密钥/证书和 AWS CSR 生成证书?

或者,在没有 Internet 访问的情况下连接到 VPC 的最佳方式是什么?如果设置 VPC<->VPC 连接更容易,我可以通过可以工作的 SSH 访问另一个 VPC。

4

1 回答 1

2

我的评论不正确,它可能是您的 openssl 版本。从 CSR 生成证书的说明有点偏离。问题是您没有正确设置 openssl 来执行此操作。

最简单的解决方法是创建一个包含以下内容的文本文件(例如 v3.ext):

authorityKeyIdentifier=keyid,issuer
basicConstraints=critical,CA:TRUE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment

将以下内容添加到您的 openssl 命令行“-extfile 文件名”,例如“-extfile v3.ext”

所以你的 openssl 命令将是:

openssl x509 -req -in AWS-PRIVATE-CSR.pem -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out service.aws.crt -days 500 -sha256 -extfile v3.ext

然后,您可以验证

openssl x509 -in service.aws.crt -text -noout

那应该会为您生成一个 v3 证书。

于 2019-05-24T04:09:47.850 回答