Client VPN이 내 CRL을 지정한 사용자를 취소하지 않은 이유는 무엇인가요?

간략한 설명

액세스 권한을 취소하려면 사용자 인증서를 생성하는 데 사용한 것과 동일한 인증 기관(CA)을 사용해야 합니다. 또한 다음 명령을 실행하여 인증서를 취소하고 CRL을 생성해야 합니다.

$ ./easyrsa revoke revoked.learnaws.local

$ ./easyrsa gen-crl

이러한 기준을 충족한 후 다음 단계를 완료하여 문제를 해결하세요.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.

1. AWS CLI를 사용하여 CRL을 내보냅니다. 그런 다음 CRL을 crl.pem 파일로 저장합니다. 명령 출력 끝에서 STATUS를 제거합니다.

$ aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id cvpn-endpoint-07ff8ba3d5d3b5188 --output text --region eu-central-1

2. .crt 및 .key 파일을 사용하여 CA의 .pem 파일을 생성합니다.

$ openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12
$ openssl pkcs12 -in ca.p12 -nodes -out ca.pem

3. 취소하려는 사용자 인증서의 .pem 파일을 생성합니다.

$ openssl pkcs12 -export -in revoked.learnaws.local.crt -inkey revoked.learnaws.local.key -out revoked.learnaws.local.p12
$ openssl pkcs12 -in revoked.learnaws.local.p12 -nodes -out revoked.learnaws.local.pem

4. cat 명령을 사용하여 ca 및 crl .pem 파일을 연결합니다.

$ cat ca.pem crl.pem > crl_ca.pem

5. 취소를 확인합니다.

예상 출력은 error 23 at 0 depth lookup:certificate revoked입니다. 출력이 OK면 Client VPN이 사용자 인증서를 취소하지 않은 것입니다.

출력 예시:

$ openssl verify -crl_check -CAfile crl_ca.pem revoked.learnaws.local.pem
revoked.learnaws.local.pem: CN = revoked.learnaws.local
error 23 at 0 depth lookup:certificate revoked

-또는-

사용자 인증서의 일련 번호 출력을 확인합니다. 일련 번호가 CRL에 있으면 Client VPN이 인증서를 취소한 것입니다.

사용자 인증서 일련 번호를 찾으려면 다음 명령을 실행합니다.

$ openssl x509 -in revoked.learnaws.local.crt -noout -serial

일련 번호가 CRL에 있는지 확인하려면 다음 명령을 실행합니다.

client cert: CN=abc.corp.xyz.com, "CertificateArn": "arn:aws:acm:us-east-1:xxxx:certificate/xxxxx-f692-4026-b26f-cfb361cf1b66", "Serial": "b5:99:e8:b9:5d:39:85:5f:8e:a9:b9:2c:10:9f:8b:c3"

$ cd /home/ec2-user/easy-rsa/easyrsa3/pki$ openssl crl -in crl.pem -text -noout | grep B599E8B95D39855F8EA9B92C109F8BC3