一、为什么这里会「爆红」?
你看到的错误:
Server certificate ARN is required原因一句话版:
Client VPN 必须使用 TLS 证书,但你现在的 AWS 账户里「没有可用的服务器证书」所以:
你点 Select certificate
下拉是空的
AWS 不让你继续创建
这个字段就爆红
- 不是你权限问题
- 不是网络问题
- 是你还没创建证书
二、这个证书是干嘛的?(理解很重要)
Client VPN 是 HTTPS + TLS 的
AWS Client VPN 本质上是:
你的电脑 ←TLS加密→ AWS VPN Endpoint
所以 AWS 要求:
- Server certificate:证明「这是 AWS VPN 服务器」
(可选)Client certificate:证明「你是谁」
这是标准的 双向 TLS 认证机制
三、解决办法(官方推荐):用 ACM 创建证书
第 1 步:进入 ACM(不是 IAM)
AWS Console → Certificate Manager (ACM)
⚠️ 注意区域
Client VPN 在 us-east-1
ACM 证书也必须在 同一个 Region
第 2 步:Request a certificate
选择:
- Request a public certificate
点击 Next
第 3 步:填写域名(可以是假的)
你不是做网站,只是 VPN 用,所以可以:
Domain name: vpn.example.com
第 4 步:验证方式
选择:
- DNS validation(推荐)
第 5 步:验证域名(关键点)
如果你没有真实域名 ❗
- 公共证书会卡在 Pending
✅ 学习 / 实验正确方式(更推荐):
- 不要用 Public certificate
- 用 Private certificate(私有证书)
四、正确做法(AWS 官方 & 实战都用)
方式一(推荐):ACM Private Certificate Authority
适合:
Client VPN
企业 VPN
学习 / 实验
操作路径
- ACM → Private CA → Create CA
流程:
创建 Private CA
用 CA 签发 Server Certificate
返回 Client VPN 选择该证书
⚠️ Private CA 有费用(注意这一点)
方式二(最常用学习方式):OpenVPN 自签证书(免费)
这是 AWS 官方教程用的方式
步骤概览
本地生成证书(OpenSSL / EasyRSA)
导入到 ACM
- 选择导入的证书
五、最简单可走通的学习路线(强烈推荐)
✅ 推荐你这样做(100% 不爆红)
Step 1:本地生成证书
git clone https://github.com/OpenVPN/easy-rsa.gitcd easy-rsa/easyrsa3./easyrsa init-pki./easyrsa build-ca nopass./easyrsa build-server-full server nopassStep 2:导入 ACM
- ACM → Import certificate
填写:
Certificate body → server.crt
Private key → server.key
Certificate chain → ca.crt
Step 3:回到 Client VPN
Server certificate ARN → 现在可以选了 ✅
👉 红色错误消失
六、为什么 AWS 不帮你自动生成?
这是为了:
符合企业安全合规
防止 VPN 被滥用
强制你明确认证方式
