New user sign up using AWS Builder ID
New user sign up using AWS Builder ID is currently unavailable on re:Post. To sign up, please use the AWS Management Console instead.
我为多个客户端创建了一个带有基于证书的身份验证的 AWS 客户端 VPN 端点。我想撤消特定客户端对客户端 VPN 端点的访问权限。
使用证书吊销列表来屏蔽特定的客户端证书。屏蔽客户端将撤销其对 Client VPN 终端节点的访问权限。
若要吊销客户端证书,请完成以下步骤。
将 OpenVPN easy-rsa 存储库克隆为本地计算机上的本地存储库:
$ git clone https://github.com/OpenVPN/easy-rsa.git
打开本地存储库中的 easy-rsa/easyrsa3 文件夹:
$ cd easy-rsa/easyrsa3
吊销客户端证书,然后生成客户端吊销列表:
$ ./easyrsa revoke client_certificate_name
出现提示时,输入 yes:
$ ./easyrsa gen-crl Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016 Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8 An updated CRL has been created. CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
证书撤销列表文件在 /easy-rsa/easyrsa3/pki/crl.pem 中创建。
重要事项: 将证书吊销列表文件导入 AWS 管理控制台后,将永久撤销您的客户端对客户端 VPN 端点的访问权限。
打开 Amazon Virtual Private Cloud(Amazon VPC)控制台。
在导航窗格中,选择客户端 VPN 端点。
选择您计划导入客户端证书吊销列表的客户端 VPN 端点。
选择操作,然后选择导入客户端证书 CRL。
复制客户端证书吊销列表 crl.pem 文件的内容。
$ cat pki/crl.pem-----BEGIN X509 CRL----- Base64–encoded certificate -----END X509 CRL-----
在证书吊销列表中,输入客户端证书吊销列表文件的内容。然后,选择导入 CRL。 或者,您可以使用 AWS 命令行界面(AWS CLI)导入客户端证书吊销列表:
aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
**注意:**如果在运行 AWS 命令行界面(AWS CLI)命令时收到错误,请确保您使用的是最新的 AWS CLI 版本。
aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
客户端证书吊销列表