Client VPN 엔드포인트와 연결된 CRL이 곧 만료될 때 알림을 받으려면 어떻게 해야 합니까?

간략한 설명

---

CRL은 CA(certificate authority, 인증 기관)에서 폐기한 인증서 목록입니다. 실수로 공유한 인증서는 폐기될 수 있습니다. 누군가 회사를 그만둘 때도 폐기될 수 있습니다.

CRL은 일정 기간 동안만 유효합니다. 인증 단계에서 Client VPN 엔드포인트는 가져온 CRL과 클라이언트 인증서를 검사합니다. CRL이 만료되면 Client VPN 엔드포인트에 연결할 수 없습니다.

시스템에서 다음 오류를 기록합니다.

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

해결 방법

일반적으로 Client VPN 서비스는 CRL이 곧 만료될 예정임을 알리지 않습니다. 하지만 이 정보는 Client VPN 네임스페이스에서 사용할 수 있는 CRLDaysToExpiry라는 Amazon CloudWatch 지표에서 얻을 수 있습니다. 이 지표는 Client VPN 엔드포인트에 대한 CRL이 만료되기까지 남은 일수를 알려줍니다.

Amazon CloudWatch CRLDaysToExpiry 지표 사용

CRLDaysToExpiry 지표는 CRL 유효 기간이 만료되도록 설정된 0에 도달할 때까지 일정 기간 동안 감소합니다. 만료 시 CRL은 더 이상 Client VPN 엔드포인트에서 인증되지 않습니다.

지표에 대한 사용자 지정 경보 설정

이 지표에 경보를 설정할 수 있습니다. 예를 들어 CRL 유효 기간이 10일 후에 만료되도록 설정할 수 있습니다. 경보는 CRL을 업데이트하고 Client VPN 엔드포인트에 업로드할 시간이 되면 관리자에게 알립니다. Amazon Simple Notification Service(Amazon SNS) 주제에 대한 자세한 내용은 Amazon SNS 주제 생성을 참조하십시오.

단일 지표에 대해 여러 경보를 생성할 수 있습니다. 예를 들어 두 개의 추가 경보(CRL 만료까지 5일, CRL 만료까지 1일)를 설정할 수 있습니다. 관리자가 10일 경고 알림을 놓친 경우에도 5일 경보와 1일 경보를 통해 알림을 받습니다. 관리자는 폐기된 인증서 목록을 업데이트하고, 새로운 CRL 파일(PEM 형식)을 생성하여 Client VPN 엔드포인트에 업로드합니다.

새 CRL 생성

참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

Easy-RSA 인증 기관의 경우:

1. 다음 명령을 사용하여 새 CRL을 생성합니다.

   ./easyrsa gen-crl

2. 그런 다음 Client VPN 엔드포인트로 CRL을 가져옵니다.

3. 또는 다음 AWS CLI 명령을 사용하여 Client VPN 엔드포인트에서 CRL을 업데이트합니다.

   aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://crl.pem --client-vpn-endpoint-id your_endpoint_id --region your_region

   참고: your_endpoint_id를 Client VPN 엔드포인트 ID로 바꾸고 your_region을 Client VPN이 위치한 지역으로 바꾸십시오.

관련 정보

클라이언트 인증서 폐기 목록

정적 임계값을 기반으로 CloudWatch 경보 생성

Amazon CloudWatch란 무엇입니까?