Como posso revogar o acesso a um endpoint do Client VPN para um cliente específico?
Eu criei um endpoint do AWS Client VPN com autenticação baseada em certificado para vários clientes. Quero revogar o acesso ao endpoint do Client VPN para um cliente específico.
Breve descrição
Use listas de revogação de certificados para bloquear certificados de clientes específicos. Quando você bloqueia clientes, o acesso deles a um endpoint do Client VPN é revogado.
Para revogar um certificado de cliente, conclua as etapas a seguir.
Resolução
Gerar uma lista de revogação de certificados de cliente usando o OpenVPN easy-rsa
-
Clone o repositório OpenVPN easy-rsa como um repositório local em seu computador local:
$ git clone https://github.com/OpenVPN/easy-rsa.git
-
Abra a pasta easy-rsa/easyrsa3 em seu repositório local:
$ cd easy-rsa/easyrsa3
-
Revogue o certificado do cliente e gere a lista de revogação de cliente:
$ ./easyrsa revoke client_certificate_name
Quando solicitado, digite yes:
$ ./easyrsa gen-crl Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016 Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8 An updated CRL has been created. CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
O arquivo da lista de revogação de certificados é criado em /easy-rsa/easyrsa3/pki/crl.pem.
Importar o arquivo da lista de revogação de certificados para a lista de revogação de certificados de cliente
Importante: Depois de importar o arquivo da lista de revogação de certificados para o AWS Management Console, o acesso do seu cliente ao endpoint Client VPN é revogado permanentemente.
-
Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
-
No painel de navegação, escolha Endpoints do Client VPN.
-
Selecione o endpoint do Client VPN para o qual você planeja importar a lista de revogação do certificado de cliente.
-
Selecione Ações e, em seguida, Importar CRL do certificado de cliente.
-
Copie o conteúdo do arquivo crl.pem da lista de revogação de certificados de cliente.
$ cat pki/crl.pem-----BEGIN X509 CRL----- Base64–encoded certificate -----END X509 CRL-----
-
Em Lista de revogação de certificados, insira o conteúdo do arquivo da lista de revogação de certificados de cliente. Em seguida, selecione Importar CRL.
Ou você pode importar a lista de revogação de certificados de cliente usando a AWS Command Line Interface (AWS CLI):aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.
(Opcional) Exportar a lista de revogação de certificados de cliente
- Abra o console da Amazon VPC.
- No painel de navegação, escolha Endpoints do Client VPN.
- Selecione o endpoint do Client VPN de onde você planeja exportar a lista de revogação de certificados de cliente.
- Selecione Ações e, em seguida, Exportar CRL do certificado de cliente.
- Selecione Sim e, em seguida, Exportar.
Ou você pode exportar a lista de revogação de certificados de cliente usando a AWS CLI:aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos