Ich habe einen AWS-Client-VPN-Endpunkt mit zertifikatsbasierter Authentifizierung für mehrere Kunden erstellt. Ich möchte den Zugriff auf den Client-VPN-Endpunkt für einen bestimmten Client widerrufen.
Kurzbeschreibung
Sie können Zertifikatssperrlisten verwenden, um bestimmte Client-Zertifikate zu blockieren. Wenn Sie Clients blockieren, wird ihnen der Zugriff auf einen Client-VPN-Endpunkt entzogen.
Gehen Sie wie folgt vor, um ein Client-Zertifikat zu widerrufen.
Lösung
Generieren Sie eine Sperrliste für Client-Zertifikate mit OpenVPN easy-rsa
-
Klonen Sie das OpenVPN easy-rsa-Repository als lokales Repository auf Ihrem lokalen Computer:
$ git clone https://github.com/OpenVPN/easy-rsa.git
-
Öffnen Sie den Ordner easy-rsa/easyrsa3 in Ihrem lokalen Repository:
$ cd easy-rsa/easyrsa3
-
Widerrufen Sie das Client-Zertifikat und generieren Sie dann die Client-Sperrliste:
$ ./easyrsa revoke client_certificate_name
Wenn Sie dazu aufgefordert werden, geben Sie ja ein:
$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
Die Datei mit der Zertifikatssperrliste wird unter /easy-rsa/easyrsa3/pki/crl.pem erstellt.
Importieren Sie die Zertifikatssperrlistendatei in die Zertifikatssperrliste des Clients
Wichtig: Nachdem Sie die Datei mit der Sperrliste für Zertifikate in die AWS-Managementkonsole importiert haben, wird der Zugriff Ihres Clients auf den Client-VPN-Endpunkt dauerhaft gesperrt.
-
Öffnen Sie die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
-
Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.
-
Wählen Sie den Client-VPN-Endpunkt aus, in den Sie die Sperrliste für Client-Zertifikate importieren möchten.
-
Wählen Sie Aktionen und dann Zertifikatssperrliste für Client-Zertifikate importieren.
-
Kopieren Sie den Inhalt der Client-Zertifikatssperrlistendatei crl.pem.
$ cat pki/crl.pem-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----
-
Geben Sie für die Zertifikatssperrliste den Inhalt der Client-Zertifikatssperrlistendatei ein. Wählen Sie dann CRL importieren .
Oder Sie können die Sperrliste für Client-Zertifikate mithilfe des AWS Command Line Interface (AWS CLI) importieren:
aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
**Hinweis:**Sollten beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler auftreten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.
(Optional) Exportieren Sie die Sperrliste für Client-Zertifikate
- Öffnen Sie die Amazon-VPC-Konsole.
- Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.
- Wählen Sie den Client-VPN-Endpunkt aus, von dem Sie die Sperrliste für Client-Zertifikate exportieren möchten.
- Wählen Sie Aktionen und dann Exportieren von Client-Zertifikat-CRL.
- Wählen Sie Ja und dann Exportieren.
Oder Sie können die Sperrliste der Client-Zertifikate mithilfe des AWS-CLI exportieren:
aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
Ähnliche Informationen
Sperrlisten für Client-Zertifizierungen