Comment puis-je être averti lorsque ma CRL associée au point de terminaison du client VPN est sur le point d'expirer ?
Je souhaite recevoir une notification m'informant que la CRL (liste de révocation de certificats), associée au point de terminaison VPN du client AWS, est sur le point d'expirer.
Brève description
Une CRL est une liste de certificats révoqués par l'autorité de certification (CA). Les certificats peuvent être révoqués s'ils ont été partagés par erreur. Ils peuvent également être révoqués lorsque quelqu'un quitte l'entreprise.
La CRL n'est valide que pendant un certain temps. Pendant la phase d'authentification, le point de terminaison VPN client vérifie le certificat client par rapport à la CRL que vous avez importée. Si la CRL a expiré, vous ne pouvez pas vous connecter au point de terminaison VPN client.
Votre système journalise l'erreur suivante :
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed
Résolution
En règle générale, le service VPN client ne vous informe pas que votre CRL est sur le point d'expirer. Toutefois, vous pouvez obtenir ces informations à partir d'une métrique Amazon CloudWatch appelée CRLDaysToExpiry, disponible dans l'espace de noms du VPN client. Cette métrique vous indique le nombre de jours restant avant l'expiration de la CRL de votre point de terminaison VPN client.
Utiliser la métrique Amazon CloudWatch CRLDaysToExpiry
La métrique CRLDaysToExpiry diminue au fil du temps, jusqu'à atteindre zéro, date à laquelle la validité de la CRL est configurée pour expirer. À l'expiration, la CRL ne s'authentifie plus sur le point de terminaison VPN client.
Définir une alarme personnalisée pour la métrique
Vous pouvez définir une alarme pour cette métrique. Par exemple, vous souhaiterez peut-être définir la validité de la CRL pour qu'elle expire dans dix jours. L'alarme avertit l'administrateur lorsqu'il est temps de mettre à jour la CRL et de la télécharger sur le point de terminaison VPN client. Pour plus d'informations sur les rubriques relatives à Amazon Simple Notification Service (Amazon SNS), consultez la section Création d'une rubrique Amazon SNS.
Vous pouvez créer plusieurs alarmes pour une seule métrique. Par exemple, vous pouvez, si vous le souhaitez, configurer deux alarmes supplémentaires : cinq jours avant l'expiration de la CRL et un jour avant l'expiration de la CRL. Si l'administrateur ne reçoit pas la notification d'avertissement de dix jours, il est tout de même averti par les alarmes de cinq jours et d'un jour. L'administrateur met à jour la liste des certificats révoqués, génère un nouveau fichier CRL (format PEM) et le télécharge sur le point de terminaison VPN client.
Générer une nouvelle CRL
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), reportez-vous à la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Pour les autorités de certification Easy-RSA :
-
Générez une nouvelle CRL à l'aide de la commande suivante :
./easyrsa gen-crl -
Puis, importez la CRL dans le point de terminaison VPN client.
-
Vous pouvez également utiliser la commande AWS CLI suivante pour mettre à jour la CRL sur le point de terminaison VPN du client :
aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://crl.pem --client-vpn-endpoint-id your_endpoint_id --region your_regionRemarque : Remplacez your_endpoint_id par le point de terminaison votre VPN client et your_region par la région dans laquelle se trouve le VPN client.
Informations connexes
Listes de révocation des certificats de clients
- Balises
- AWS Client VPN
- Langue
- Français
Contenus pertinents
- demandé il y a un an
- demandé il y a 2 ans
- demandé il y a 2 ans
- demandé il y a un an
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans