如何撤消特定客户端对客户端 VPN 端点的访问权限？

简短描述

使用证书吊销列表来屏蔽特定的客户端证书。屏蔽客户端将撤销其对 Client VPN 终端节点的访问权限。

若要吊销客户端证书，请完成以下步骤。

解决方法

使用 OpenVPN easy-rsa 生成客户端证书吊销列表

1. 将 OpenVPN easy-rsa 存储库克隆为本地计算机上的本地存储库：

   $ git clone https://github.com/OpenVPN/easy-rsa.git

2. 打开本地存储库中的 easy-rsa/easyrsa3 文件夹：

   $ cd easy-rsa/easyrsa3

3. 吊销客户端证书，然后生成客户端吊销列表：

   $ ./easyrsa revoke client_certificate_name

   出现提示时，输入 yes：

   $ ./easyrsa gen-crl     
   Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
   Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
   An updated CRL has been created.
   CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

   证书撤销列表文件在 /easy-rsa/easyrsa3/pki/crl.pem 中创建。

将证书吊销列表文件导入客户端证书吊销列表

重要事项： 将证书吊销列表文件导入 AWS 管理控制台后，将永久撤销您的客户端对客户端 VPN 端点的访问权限。

1. 打开 Amazon Virtual Private Cloud（Amazon VPC）控制台。

2. 在导航窗格中，选择客户端 VPN 端点。

3. 选择您计划导入客户端证书吊销列表的客户端 VPN 端点。

4. 选择操作，然后选择导入客户端证书 CRL。

5. 复制客户端证书吊销列表 crl.pem 文件的内容。

   $ cat pki/crl.pem-----BEGIN X509 CRL-----
   Base64–encoded certificate
   -----END X509 CRL-----

6. 在证书吊销列表中，输入客户端证书吊销列表文件的内容。然后，选择导入 CRL。
   或者，您可以使用 AWS 命令行界面（AWS CLI）导入客户端证书吊销列表：

   aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

**注意：**如果在运行 AWS 命令行界面（AWS CLI）命令时收到错误，请确保您使用的是最新的 AWS CLI 版本。

（可选）导出客户端证书吊销列表

1. 打开 Amazon VPC 控制台。
2. 在导航窗格中，选择客户端 VPN 端点。
3. 选择您计划从中导出客户端证书吊销列表的客户端 VPN 端点。
4. 选择操作，然后选择导出客户证书 CRL。
5. 选择是，然后选择导出。
   或者，您可以使用 AWS CLI 导出客户端证书吊销列表：

   aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

相关信息

客户端证书吊销列表