我想收到与 AWS Client VPN 端点关联的 CRL(证书吊销列表)即将到期的通知。
简短描述
CRL 是证书颁发机构 (CA) 吊销的证书列表。如果错误地共享了证书,则可以将其吊销。当有人离开公司时,也可以吊销证书。
CRL 仅在一段时间内有效。在身份验证阶段,Client VPN 端点会根据您导入的 CRL 检查客户端证书。如果 CRL 已到期,则无法连接到 Client VPN 端点。
您的系统记录了以下错误:
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed
解决方法
通常,Client VPN 服务不会通知您 CRL 即将到期。但是,您可以从名为 CRLDaysToExpiry 的 Amazon CloudWatch 指标中获取该信息,该指标显示在 Client VPN 命名空间下。该指标为您提供了 Client VPN 端点的 CRL 到期前的剩余天数。
使用 Amazon CloudWatch CRLDaysToExpiry 指标
当 CRL 有效期设置为到期时,CRLDaysToExpiry 指标会在一段时间内减少,直到达到零。到期时,CRL 不再在 Client VPN 端点上进行身份验证。
为指标设置自定义警报
您可以为该指标设置警报。例如,您可能需要将 CRL 的有效期设置为十天后到期。该警报会在需要更新 CRL 并将其上传到 Client VPN 端点时通知管理员。有关 Amazon Simple Notification Service (Amazon SNS) 主题的详细信息,请参阅创建 Amazon SNS 主题。
您可以为单个指标创建多个警报。例如,您可以选择另外设置两个警报:CRL 到期前五天,CRL 到期前一天。如果管理员错过了前十天的警告通知,他们仍然会收到前五天和前一天警报的通知。管理员更新已吊销的证书列表,生成新的 CRL 文件(PEM 格式),并将其上传到 Client VPN 端点。
生成新的 CRL
**注意:**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
对于 Easy-RSA 证书颁发机构:
-
使用以下命令生成新的 CRL:
./easyrsa gen-crl
-
然后,将 CRL 导入到 Client VPN 端点。
-
或者,使用以下 AWS CLI 命令更新 Client VPN 端点上的 CRL:
aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://crl.pem --client-vpn-endpoint-id your_endpoint_id --region your_region
**注意:**将 your_endpoint_id 替换为您的 Client VPN 端点 ID,将 your_region 替换为 Client VPN 所在的区域。
相关信息
客户端证书吊销列表
根据静态阈值创建 CloudWatch 警报
什么是 Amazon CloudWatch?