¿Cómo puedo revocar el acceso a un punto de conexión de Client VPN en el caso de un cliente concreto?
He creado un punto de conexión de AWS Client VPN con autenticación basada en certificados para varios clientes. Deseo revocar el acceso al punto de conexión de Client VPN en el caso de un cliente concreto.
Breve descripción
Puede usar listas de revocación de certificados para bloquear certificados de clientes concretos. El bloqueo de los clientes revoca su acceso a un punto de conexión de Client VPN.
Para revocar un certificado de cliente, siga estos pasos.
Solución
Generación de una lista de revocación de certificados del cliente mediante easy-rsa de OpenVPN
-
Clone el repositorio easy-rsa de OpenVPN como repositorio local en su equipo local:
$ git clone https://github.com/OpenVPN/easy-rsa.git
-
Abra la carpeta easy-rsa/easyrsa3 en su repositorio local:
$ cd easy-rsa/easyrsa3
-
Revoque el certificado del cliente y, a continuación, genere la lista de revocación del cliente:
$ ./easyrsa revoke client_certificate_name
Cuando se le solicite, indique sí:
$ ./easyrsa gen-crl Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016 Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8 An updated CRL has been created. CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
El archivo de lista de revocación de certificados se crea en /easy-rsa/easyrsa3/pki/crl.pem.
Importación del archivo de lista de revocación de certificados a la lista de revocación de certificados del cliente
Importante: Tras importar el archivo de la lista de revocación de certificados a la Consola de administración de AWS, el acceso del cliente al punto de conexión de Client VPN se revoca definitivamente.
-
Abra la consola de Amazon Virtual Private Cloud (Amazon VPC).
-
En el panel de navegación, seleccione Puntos de conexión de Client VPN.
-
Seleccione el punto de conexión de Client VPN al que va a importar la lista de revocación de certificados del cliente.
-
Elija Acciones y, a continuación, Importar CRL de certificados de cliente.
-
Copie el contenido del archivo crl.pem de la lista de revocación de certificados del cliente.
$ cat pki/crl.pem-----BEGIN X509 CRL----- Base64–encoded certificate -----END X509 CRL-----
-
En Lista de revocación de certificados, introduzca el contenido del archivo de la lista de revocación de certificados del cliente. A continuación, seleccione Importar CRL.
Como alternativa, puede importar la lista de revocación de certificados del cliente mediante la Interfaz de la línea de comandos de AWS (AWS CLI):aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), compruebe si está utilizando la versión más reciente de AWS CLI.
(Opcional) Exportación de la lista de revocación de certificados del cliente
- Abra la consola de Amazon VPC.
- En el panel de navegación, seleccione Puntos de conexión de Client VPN.
- Seleccione el punto de conexión de Client VPN desde el que tiene previsto exportar la lista de revocación de certificados del cliente.
- Elija Acciones y, a continuación, Exportar CRL del certificado de cliente.
- Elija Sí y, a continuación, seleccione Exportar.
Como alternativa, puede exportar la lista de revocación de certificados del cliente mediante AWS CLI:aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
Información relacionada
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años