Come posso revocare l'accesso a un endpoint Client VPN per un client specifico?

3 minuti di lettura

Ho creato un endpoint Client VPN di AWS con autenticazione basata su certificati per più client. Voglio revocare l'accesso all'endpoint Client VPN per un client specifico.

Breve descrizione

Usa gli elenchi di revoca dei certificati per bloccare certificati client specifici. Quando blocchi i client, il loro accesso a un endpoint Client VPN viene revocato.

Per revocare il certificato di un client, completa i seguenti passaggi.

Risoluzione

Genera un elenco di revoca dei certificati client utilizzando OpenVPN easy-rsa

Clona il repository OpenVPN easy-rsa come archivio locale sul tuo computer locale:

$ git clone https://github.com/OpenVPN/easy-rsa.git

Apri la cartella easy-rsa/easyrsa3 nel tuo repository locale:

$ cd easy-rsa/easyrsa3

Revoca il certificato del client, quindi genera l'elenco delle revoche del client:

$ ./easyrsa revoke client_certificate_name

Quando richiesto, inserisci sì:

$ ./easyrsa gen-crl     
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

Il file dell'elenco delle revoche dei certificati viene creato in /easy-rsa/easyrsa3/pki/crl.pem.

Importa il file dell'elenco delle revoche dei certificati nell'elenco di revoca dei certificati del client

Importante: Dopo aver importato il file dell'elenco di revoca dei certificati nella Console di gestione AWS, l'accesso del client all'endpoint Client VPN viene revocato in modo permanente.

Apri la console Amazon Virtual Private Cloud (Amazon VPC).
Nel riquadro di navigazione, scegli Endpoint Client VPN.
Seleziona l'endpoint Client VPN in cui intendi importare l'elenco di revoca dei certificati client.
Scegli Azioni, quindi scegli Importa CRL dei certificati Client.

Copia il contenuto del file dell'elenco di revoca dei certificati client crl.pem.

$ cat pki/crl.pem-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

In Elenco di revoche di certificati, inserisci il contenuto del file dell'elenco di revoca dei certificati del client. Quindi, scegli Importa CRL.
In alternativa, puoi importare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS (AWS CLI):

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Nota: Se ricevi errori durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

(Facoltativo) Esporta l'elenco delle revoche dei certificati client

Apri la console Amazon VPC.
Nel riquadro di navigazione, scegli Endpoint Client VPN.
Seleziona l'endpoint Client VPN da cui intendi esportare l'elenco di revoca dei certificati client.
Scegli Azioni, quindi scegli Esporta CRL dei certificati Client.

Scegli Sì, quindi scegli Esporta.
In alternativa, puoi esportare l'elenco delle revoche dei certificati client utilizzando l'interfaccia della linea di comando AWS:

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Informazioni correlate

Elenchi di revoche di certificati client

Argomenti

Networking e distribuzione di contenuti

Tag

AWS Virtual Private Network (VPN)AWS Client VPN

Lingua

Italiano

AWS UFFICIALEAggiornata 8 mesi fa

Contenuto pertinente

Come posso creare e connettermi a un endpoint VPN Client utilizzando certificati privati per l'autenticazione reciproca con la Gestione certificati AWS (ACM)?
AWS UFFICIALEAggiornata 2 anni fa
Come posso configurare più utenti per utilizzare lo stesso endpoint Client VPN?
AWS UFFICIALEAggiornata 2 anni fa
Come posso creare un endpoint VPN Client utilizzando l'autenticazione basata su certificati?
AWS UFFICIALEAggiornata 2 anni fa
Perché Client VPN non ha revocato gli utenti a cui avevo specificato la mia CRL?
AWS UFFICIALEAggiornata 8 mesi fa