Comment puis-je révoquer l'accès à un point de terminaison d'un Client VPN pour un client spécifique ?

Brève description

Utilisez les listes de révocation de certificats pour bloquer des certificats des clients spécifiques. Le blocage des clients entraîne la révocation de leur accès à un point de terminaison d'un Client VPN.

Pour révoquer un certificat client, procédez comme suit.

Résolution

Générez une liste de révocation de certificats des clients avec OpenVPN easy-rsa

1. Clonez le référentiel OpenVPN easy-rsa en tant que référentiel local sur votre ordinateur local :

   $ git clone https://github.com/OpenVPN/easy-rsa.git

2. Ouvrez le dossier easy-rsa/easyrsa3 dans votre référentiel local :

   $ cd easy-rsa/easyrsa3

3. Révoquez le certificat client, puis générez la liste de révocation des clients :

   $ ./easyrsa revoke client_certificate_name

   Lorsque vous y êtes invité, saisissez oui :

   $ ./easyrsa gen-crl     
   Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
   Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
   An updated CRL has been created.
   CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

   Le fichier de liste de révocation des certificats est créé sous /easy-rsa/easyrsa3/pki/crl.pem.

Importer le fichier de liste de révocation de certificats dans la liste de révocation de certificats du client

Important : une fois le fichier de liste de révocation des certificats importé dans la console de gestion AWS, l'accès de votre client au point de terminaison d'un Client VPN est définitivement révoqué.

1. Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).

2. Dans le volet de navigation, choisissez Points de terminaison d'un Client VPN.

3. Sélectionnez le point de terminaison d'un Client VPN dans lequel vous prévoyez d'importer la liste de révocation du certificat client.

4. Choisissez Actions, puis Importer la liste CRL.

5. Copiez le contenu du fichier crl.pem de la liste de révocation des certificats des clients.

   $ cat pki/crl.pem-----BEGIN X509 CRL-----
   Base64–encoded certificate
   -----END X509 CRL-----

6. Pour Liste de révocation des certificats, saisissez le contenu du fichier de liste de révocation des certificats des clients. Choisissez ensuite Importer une liste CRL.
   Vous pouvez également importer la liste de révocation des certificats des clients à l'aide de l'interface de la ligne de commande AWS (AWS CLI) :

   aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Remarque : si vous recevez des messages d'erreurs lors de l'exécution des commandes de l'interface de la ligne de commande AWS (AWS CLI), vérifiez que vous utilisez bien la version la plus récente d'AWS CLI.

(Facultatif) Exportez la liste de révocation des certificats des clients

1. Ouvrez la console Amazon VPC.
2. Dans le volet de navigation, choisissez Points de terminaison d'un Client VPN.
3. Sélectionnez le point de terminaison d'un Client VPN à partir duquel vous prévoyez d'exporter la liste de révocation des certificats des clients.
4. Choisissez Actions, puis Exporter la liste CRL.
5. Choisissez Oui, puis Exporter.
   Vous pouvez également exporter la liste de révocation des certificats des clients à l'aide de l'interface de l'AWS CLI :

   aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Informations connexes

Listes de révocation des certificats des clients