Como posso revogar o acesso a um endpoint do Client VPN para um cliente específico?

3 minuto de leitura

Eu criei um endpoint do AWS Client VPN com autenticação baseada em certificado para vários clientes. Quero revogar o acesso ao endpoint do Client VPN para um cliente específico.

Breve descrição

Use listas de revogação de certificados para bloquear certificados de clientes específicos. Quando você bloqueia clientes, o acesso deles a um endpoint do Client VPN é revogado.

Para revogar um certificado de cliente, conclua as etapas a seguir.

Resolução

Gerar uma lista de revogação de certificados de cliente usando o OpenVPN easy-rsa

Clone o repositório OpenVPN easy-rsa como um repositório local em seu computador local:

$ git clone https://github.com/OpenVPN/easy-rsa.git

Abra a pasta easy-rsa/easyrsa3 em seu repositório local:

$ cd easy-rsa/easyrsa3

Revogue o certificado do cliente e gere a lista de revogação de cliente:

$ ./easyrsa revoke client_certificate_name

Quando solicitado, digite yes:

$ ./easyrsa gen-crl     
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

O arquivo da lista de revogação de certificados é criado em /easy-rsa/easyrsa3/pki/crl.pem.

Importar o arquivo da lista de revogação de certificados para a lista de revogação de certificados de cliente

Importante: Depois de importar o arquivo da lista de revogação de certificados para o AWS Management Console, o acesso do seu cliente ao endpoint Client VPN é revogado permanentemente.

Abra o console da Amazon Virtual Private Cloud (Amazon VPC).
No painel de navegação, escolha Endpoints do Client VPN.
Selecione o endpoint do Client VPN para o qual você planeja importar a lista de revogação do certificado de cliente.
Selecione Ações e, em seguida, Importar CRL do certificado de cliente.

Copie o conteúdo do arquivo crl.pem da lista de revogação de certificados de cliente.

$ cat pki/crl.pem-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

Em Lista de revogação de certificados, insira o conteúdo do arquivo da lista de revogação de certificados de cliente. Em seguida, selecione Importar CRL.
Ou você pode importar a lista de revogação de certificados de cliente usando a AWS Command Line Interface (AWS CLI):

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

(Opcional) Exportar a lista de revogação de certificados de cliente

Abra o console da Amazon VPC.
No painel de navegação, escolha Endpoints do Client VPN.
Selecione o endpoint do Client VPN de onde você planeja exportar a lista de revogação de certificados de cliente.
Selecione Ações e, em seguida, Exportar CRL do certificado de cliente.

Selecione Sim e, em seguida, Exportar.
Ou você pode exportar a lista de revogação de certificados de cliente usando a AWS CLI:

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Informações relacionadas

Listas de revogação de certificação de cliente

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como posso configurar vários usuários para usar o mesmo endpoint do Client VPN?
AWS OFICIALAtualizada há 2 anos
Como posso criar um endpoint do Client VPN usando a autenticação baseada em certificado?
AWS OFICIALAtualizada há 2 anos
Por que o Client VPN não revogou os usuários que eu especifiquei na minha CRL?
AWS OFICIALAtualizada há 8 meses
Como faço para criar e me conectar a um endpoint do Client VPN usando certificados privados para autenticação mútua com o AWS Certificate Manager?
AWS OFICIALAtualizada há 2 anos