Warum hat Client VPN die Benutzer, für die ich meine CRL angegeben habe, nicht gesperrt?

Lesedauer: 3 Minute
0

Ich habe ein Zertifikat gesperrt, eine Zertifikatssperrliste (CRL) generiert und dann die CRL in AWS Client VPN importiert. Ich habe diese Schritte ausgeführt, um bestimmten Benutzern den Zugriff zu entziehen. Client-VPN hat die angegebenen Benutzer jedoch nicht gesperrt.

Kurzbeschreibung

Um den Zugriff zu widerrufen, müssen Sie dieselbe Zertifizierungsstelle (CA) verwenden, mit der Sie das Benutzerzertifikat generiert haben. Außerdem müssen Sie die folgenden Befehle ausführen, um Ihr Zertifikat zu widerrufen und die CRL zu generieren:

$ ./easyrsa revoke revoked.learnaws.local

$ ./easyrsa gen-crl

Wenn Sie diese Kriterien erfüllt haben, führen Sie die folgenden Schritte zur Fehlerbehebung durch.

Behebung

**Hinweis:**Sollten beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler auftreten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

  1. Verwenden Sie die AWS-CLI, um die CRL zu exportieren. Speichern Sie dann die CRL als crl.pem-Datei. Achten Sie darauf, den STATUS am Ende der Befehlsausgabe zu entfernen.
$ aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id cvpn-endpoint-07ff8ba3d5d3b5188 --output text --region eu-central-1
  1. Erstellen Sie eine PEM-Datei für die CA mit den Dateien.crt und .key:
$ openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12
$ openssl pkcs12 -in ca.p12 -nodes -out ca.pem
  1. Erstellen Sie eine PEM-Datei für das Benutzerzertifikat, das Sie widerrufen möchten:
$ openssl pkcs12 -export -in revoked.learnaws.local.crt -inkey revoked.learnaws.local.key -out revoked.learnaws.local.p12
$ openssl pkcs12 -in revoked.learnaws.local.p12 -nodes -out revoked.learnaws.local.pem
  1. Verknüpfen Sie die Dateien ca und crl .pem mit dem Befehl cat:
$ cat ca.pem crl.pem > crl_ca.pem
  1. Überprüfen Sie den Widerruf.

Die erwartete Ausgabe lautet error 23 at 0 depth lookup:certificate revoked. Wenn die Ausgabe in Ordnung ist, hat Client VPN das Benutzerzertifikat nicht widerrufen.

Beispiel für eine Ausgabe:

$ openssl verify -crl_check -CAfile crl_ca.pem revoked.learnaws.local.pem
revoked.learnaws.local.pem: CN = revoked.learnaws.local
error 23 at 0 depth lookup:certificate revoked

-oder-

Suchen Sie in der Ausgabe nach der Seriennummer des Benutzerzertifikats. Wenn sich die Seriennummer in der CRL befindet, hat Client VPN das Zertifikat gesperrt.

Führen Sie den folgenden Befehl aus, um die Seriennummer des Benutzerzertifikats zu ermitteln:

$ openssl x509 -in revoked.learnaws.local.crt -noout -serial

Um zu überprüfen, ob sich die Seriennummer in der CRL befindet, führen Sie diesen Befehl aus:

client cert: CN=abc.corp.xyz.com, "CertificateArn": "arn:aws:acm:us-east-1:xxxx:certificate/xxxxx-f692-4026-b26f-cfb361cf1b66", "Serial": "b5:99:e8:b9:5d:39:85:5f:8e:a9:b9:2c:10:9f:8b:c3"

$ cd /home/ec2-user/easy-rsa/easyrsa3/pki$ openssl crl -in crl.pem -text -noout | grep B599E8B95D39855F8EA9B92C109F8BC3
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 7 Monaten