Come posso revocare l'accesso a un endpoint Client VPN per un client specifico?
Ho creato un endpoint Client VPN di AWS con autenticazione basata su certificati per più client. Voglio revocare l'accesso all'endpoint Client VPN per un client specifico.
Breve descrizione
Usa gli elenchi di revoca dei certificati per bloccare certificati client specifici. Quando blocchi i client, il loro accesso a un endpoint Client VPN viene revocato.
Per revocare il certificato di un client, completa i seguenti passaggi.
Risoluzione
Genera un elenco di revoca dei certificati client utilizzando OpenVPN easy-rsa
-
Clona il repository OpenVPN easy-rsa come archivio locale sul tuo computer locale:
$ git clone https://github.com/OpenVPN/easy-rsa.git
-
Apri la cartella easy-rsa/easyrsa3 nel tuo repository locale:
$ cd easy-rsa/easyrsa3
-
Revoca il certificato del client, quindi genera l'elenco delle revoche del client:
$ ./easyrsa revoke client_certificate_name
Quando richiesto, inserisci sì:
$ ./easyrsa gen-crl Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016 Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8 An updated CRL has been created. CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
Il file dell'elenco delle revoche dei certificati viene creato in /easy-rsa/easyrsa3/pki/crl.pem.
Importa il file dell'elenco delle revoche dei certificati nell'elenco di revoca dei certificati del client
Importante: Dopo aver importato il file dell'elenco di revoca dei certificati nella Console di gestione AWS, l'accesso del client all'endpoint Client VPN viene revocato in modo permanente.
-
Nel riquadro di navigazione, scegli Endpoint Client VPN.
-
Seleziona l'endpoint Client VPN in cui intendi importare l'elenco di revoca dei certificati client.
-
Scegli Azioni, quindi scegli Importa CRL dei certificati Client.
-
Copia il contenuto del file dell'elenco di revoca dei certificati client crl.pem.
$ cat pki/crl.pem-----BEGIN X509 CRL----- Base64–encoded certificate -----END X509 CRL-----
-
In Elenco di revoche di certificati, inserisci il contenuto del file dell'elenco di revoca dei certificati del client. Quindi, scegli Importa CRL.
In alternativa, puoi importare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS (AWS CLI):aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
(Facoltativo) Esporta l'elenco delle revoche dei certificati client
- Apri la console Amazon VPC.
- Nel riquadro di navigazione, scegli Endpoint Client VPN.
- Seleziona l'endpoint Client VPN da cui intendi esportare l'elenco di revoca dei certificati client.
- Scegli Azioni, quindi scegli Esporta CRL dei certificati Client.
- Scegli Sì, quindi scegli Esporta.
In alternativa, puoi esportare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS:aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa