如何撤消特定客户端对客户端 VPN 端点的访问权限?

1 分钟阅读
0

我为多个客户端创建了一个带有基于证书的身份验证的 AWS 客户端 VPN 端点。我想撤消特定客户端对客户端 VPN 端点的访问权限。

简短描述

使用证书吊销列表来屏蔽特定的客户端证书。屏蔽客户端将撤销其对 Client VPN 终端节点的访问权限。

若要吊销客户端证书,请完成以下步骤。

解决方法

使用 OpenVPN easy-rsa 生成客户端证书吊销列表

  1. 将 OpenVPN easy-rsa 存储库克隆为本地计算机上的本地存储库:

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. 打开本地存储库中的 easy-rsa/easyrsa3 文件夹:

    $ cd easy-rsa/easyrsa3
  3. 吊销客户端证书,然后生成客户端吊销列表:

    $ ./easyrsa revoke client_certificate_name

    出现提示时,输入 yes

    $ ./easyrsa gen-crl     
    Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
    Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
    An updated CRL has been created.
    CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

    证书撤销列表文件在 /easy-rsa/easyrsa3/pki/crl.pem 中创建。

将证书吊销列表文件导入客户端证书吊销列表

重要事项: 将证书吊销列表文件导入 AWS 管理控制台后,将永久撤销您的客户端对客户端 VPN 端点的访问权限。

  1. 打开 Amazon Virtual Private Cloud(Amazon VPC)控制台

  2. 在导航窗格中,选择客户端 VPN 端点

  3. 选择您计划导入客户端证书吊销列表的客户端 VPN 端点。

  4. 选择操作,然后选择导入客户端证书 CRL

  5. 复制客户端证书吊销列表 crl.pem 文件的内容。

    $ cat pki/crl.pem-----BEGIN X509 CRL-----
    Base64–encoded certificate
    -----END X509 CRL-----
  6. 证书吊销列表中,输入客户端证书吊销列表文件的内容。然后,选择导入 CRL
    或者,您可以使用 AWS 命令行界面(AWS CLI)导入客户端证书吊销列表:

    aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您使用的是最新的 AWS CLI 版本

(可选)导出客户端证书吊销列表

  1. 打开 Amazon VPC 控制台
  2. 在导航窗格中,选择客户端 VPN 端点
  3. 选择您计划从中导出客户端证书吊销列表的客户端 VPN 端点。
  4. 选择操作,然后选择导出客户证书 CRL
  5. 选择,然后选择导出
    或者,您可以使用 AWS CLI 导出客户端证书吊销列表:
    aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

相关信息

客户端证书吊销列表

AWS 官方
AWS 官方已更新 9 个月前