Perché Client VPN non ha revocato gli utenti a cui avevo specificato la mia CRL?

2 minuti di lettura

Ho revocato un certificato, generato una lista di revoca dei certificati (CRL) e poi importato la CRL in VPN Client di AWS. Ho completato questa procedura per revocare l'accesso a utenti specifici. Tuttavia, Client VPN non ha revocato gli utenti specificati.

Breve descrizione

Per revocare l'accesso, è necessario utilizzare la stessa autorità di certificazione (CA) utilizzata per generare il certificato utente. Inoltre, è necessario eseguire i seguenti comandi per revocare il certificato e generare la CRL:

$ ./easyrsa revoke revoked.learnaws.local

$ ./easyrsa gen-crl

Dopo aver soddisfatto questi criteri, completa i seguenti passaggi per la risoluzione dei problemi.

Risoluzione

Nota: se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

1. Usa l'interfaccia a riga di comando di AWS per esportare la CRL. Quindi, salva la CRL come file crl.pem. Rimuovi lo STATO alla fine dell'output del comando.

$ aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id cvpn-endpoint-07ff8ba3d5d3b5188 --output text --region eu-central-1

2. Crea un file .pem per la CA con i file .crt e.key:

$ openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12
$ openssl pkcs12 -in ca.p12 -nodes -out ca.pem

3. Crea un file .pem per il certificato utente che desideri revocare:

$ openssl pkcs12 -export -in revoked.learnaws.local.crt -inkey revoked.learnaws.local.key -out revoked.learnaws.local.p12
$ openssl pkcs12 -in revoked.learnaws.local.p12 -nodes -out revoked.learnaws.local.pem

4. Collega i file ca e crl .pem con il comando cat:

$ cat ca.pem crl.pem > crl_ca.pem

5. Verifica la revoca.

L'output previsto è error 23 at 0 depth lookup:certificate revoked. Se l'output è OK, Client VPN non ha revocato il certificato utente.

Esempio di output:

$ openssl verify -crl_check -CAfile crl_ca.pem revoked.learnaws.local.pem
revoked.learnaws.local.pem: CN = revoked.learnaws.local
error 23 at 0 depth lookup:certificate revoked

-oppure-

Controlla l'output per il numero di serie del certificato utente. Se il numero di serie è nella CRL, Client VPN ha revocato il certificato.

Per trovare il numero di serie del certificato utente, esegui questo comando:

$ openssl x509 -in revoked.learnaws.local.crt -noout -serial

Per verificare se il numero di serie è nella CRL, esegui questo comando:

client cert: CN=abc.corp.xyz.com, "CertificateArn": "arn:aws:acm:us-east-1:xxxx:certificate/xxxxx-f692-4026-b26f-cfb361cf1b66", "Serial": "b5:99:e8:b9:5d:39:85:5f:8e:a9:b9:2c:10:9f:8b:c3"

$ cd /home/ec2-user/easy-rsa/easyrsa3/pki$ openssl crl -in crl.pem -text -noout | grep B599E8B95D39855F8EA9B92C109F8BC3

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)AWS Client VPN

Lingua

Italiano

AWS UFFICIALEAggiornata 8 mesi fa

Contenuto pertinente

Come posso revocare l'accesso a un endpoint Client VPN per un client specifico?
AWS UFFICIALEAggiornata 8 mesi fa
Come posso configurare più utenti per utilizzare lo stesso endpoint Client VPN?
AWS UFFICIALEAggiornata 2 anni fa
Come posso creare un elenco di revoche di certificati (CRL) per la mia ACM PCA?
AWS UFFICIALEAggiornata 2 anni fa
Come posso revocare il mio certificato privato ACM?
AWS UFFICIALEAggiornata 2 anni fa