Wie kann ich einem bestimmten Client den Zugriff auf einen Client-VPN-Endpunkt entziehen?

Lesedauer: 3 Minute
0

Ich habe einen AWS-Client-VPN-Endpunkt mit zertifikatsbasierter Authentifizierung für mehrere Kunden erstellt. Ich möchte den Zugriff auf den Client-VPN-Endpunkt für einen bestimmten Client widerrufen.

Kurzbeschreibung

Sie können Zertifikatssperrlisten verwenden, um bestimmte Client-Zertifikate zu blockieren. Wenn Sie Clients blockieren, wird ihnen der Zugriff auf einen Client-VPN-Endpunkt entzogen.

Gehen Sie wie folgt vor, um ein Client-Zertifikat zu widerrufen.

Lösung

Generieren Sie eine Sperrliste für Client-Zertifikate mit OpenVPN easy-rsa

  1.     Klonen Sie das OpenVPN easy-rsa-Repository als lokales Repository auf Ihrem lokalen Computer:

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2.     Öffnen Sie den Ordner easy-rsa/easyrsa3 in Ihrem lokalen Repository:

    $ cd easy-rsa/easyrsa3
  3.     Widerrufen Sie das Client-Zertifikat und generieren Sie dann die Client-Sperrliste:

    $ ./easyrsa revoke client_certificate_name

    Wenn Sie dazu aufgefordert werden, geben Sie ja ein:

    $ ./easyrsa gen-crl     
    Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
    Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
    An updated CRL has been created.
    CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

    Die Datei mit der Zertifikatssperrliste wird unter /easy-rsa/easyrsa3/pki/crl.pem erstellt.

Importieren Sie die Zertifikatssperrlistendatei in die Zertifikatssperrliste des Clients

Wichtig: Nachdem Sie die Datei mit der Sperrliste für Zertifikate in die AWS-Managementkonsole importiert haben, wird der Zugriff Ihres Clients auf den Client-VPN-Endpunkt dauerhaft gesperrt.

  1. Öffnen Sie die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.

  2. Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.

  3.     Wählen Sie den Client-VPN-Endpunkt aus, in den Sie die Sperrliste für Client-Zertifikate importieren möchten.

  4.     Wählen Sie Aktionen und dann Zertifikatssperrliste für Client-Zertifikate importieren.

  5.     Kopieren Sie den Inhalt der Client-Zertifikatssperrlistendatei crl.pem.

    $ cat pki/crl.pem-----BEGIN X509 CRL-----
    Base64–encoded certificate
    -----END X509 CRL-----
  6.     Geben Sie für die Zertifikatssperrliste den Inhalt der Client-Zertifikatssperrlistendatei ein. Wählen Sie dann CRL importieren .
    Oder Sie können die Sperrliste für Client-Zertifikate mithilfe des AWS Command Line Interface (AWS CLI) importieren:

    aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

**Hinweis:**Sollten beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler auftreten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

(Optional) Exportieren Sie die Sperrliste für Client-Zertifikate

  1. Öffnen Sie die Amazon-VPC-Konsole.
  2. Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.
  3.     Wählen Sie den Client-VPN-Endpunkt aus, von dem Sie die Sperrliste für Client-Zertifikate exportieren möchten.
  4.     Wählen Sie Aktionen und dann Exportieren von Client-Zertifikat-CRL.
  5.     Wählen Sie Ja und dann Exportieren.
    Oder Sie können die Sperrliste der Client-Zertifikate mithilfe des AWS-CLI exportieren:
    aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Ähnliche Informationen

Sperrlisten für Client-Zertifizierungen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 9 Monaten