Come posso revocare l'accesso a un endpoint Client VPN per un client specifico?

3 minuti di lettura
0

Ho creato un endpoint Client VPN di AWS con autenticazione basata su certificati per più client. Voglio revocare l'accesso all'endpoint Client VPN per un client specifico.

Breve descrizione

Usa gli elenchi di revoca dei certificati per bloccare certificati client specifici. Quando blocchi i client, il loro accesso a un endpoint Client VPN viene revocato.

Per revocare il certificato di un client, completa i seguenti passaggi.

Risoluzione

Genera un elenco di revoca dei certificati client utilizzando OpenVPN easy-rsa

  1. Clona il repository OpenVPN easy-rsa come archivio locale sul tuo computer locale:

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. Apri la cartella easy-rsa/easyrsa3 nel tuo repository locale:

    $ cd easy-rsa/easyrsa3
  3. Revoca il certificato del client, quindi genera l'elenco delle revoche del client:

    $ ./easyrsa revoke client_certificate_name

    Quando richiesto, inserisci :

    $ ./easyrsa gen-crl     
    Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
    Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
    An updated CRL has been created.
    CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

    Il file dell'elenco delle revoche dei certificati viene creato in /easy-rsa/easyrsa3/pki/crl.pem.

Importa il file dell'elenco delle revoche dei certificati nell'elenco di revoca dei certificati del client

Importante: Dopo aver importato il file dell'elenco di revoca dei certificati nella Console di gestione AWS, l'accesso del client all'endpoint Client VPN viene revocato in modo permanente.

  1. Apri la console Amazon Virtual Private Cloud (Amazon VPC).

  2. Nel riquadro di navigazione, scegli Endpoint Client VPN.

  3. Seleziona l'endpoint Client VPN in cui intendi importare l'elenco di revoca dei certificati client.

  4. Scegli Azioni, quindi scegli Importa CRL dei certificati Client.

  5. Copia il contenuto del file dell'elenco di revoca dei certificati client crl.pem.

    $ cat pki/crl.pem-----BEGIN X509 CRL-----
    Base64–encoded certificate
    -----END X509 CRL-----
  6. In Elenco di revoche di certificati, inserisci il contenuto del file dell'elenco di revoca dei certificati del client. Quindi, scegli Importa CRL.
    In alternativa, puoi importare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS (AWS CLI):

    aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

(Facoltativo) Esporta l'elenco delle revoche dei certificati client

  1. Apri la console Amazon VPC.
  2. Nel riquadro di navigazione, scegli Endpoint Client VPN.
  3. Seleziona l'endpoint Client VPN da cui intendi esportare l'elenco di revoca dei certificati client.
  4. Scegli Azioni, quindi scegli Esporta CRL dei certificati Client.
  5. Scegli , quindi scegli Esporta.
    In alternativa, puoi esportare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS:
    aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Informazioni correlate

Elenchi di revoche di certificati client

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa