我為多個用戶端建立了憑證型鑑別的 AWS Client VPN 端點。我想要為特定用戶端撤銷 Client VPN 端點的存取權。
簡短說明
使用憑證撤銷清單封鎖特定的用戶端憑證。您封鎖用戶端時,即會撤銷其對 Client VPN 端點的存取權。
若要撤銷用戶端憑證,請完成下列步驟。
解決方案
使用 OpenVPN easy-rsa 產生用戶端憑證撤銷清單
-
複製 OpenVPN easy-rsa 儲存庫,將其作為本端電腦上的本端儲存庫:
$ git clone https://github.com/OpenVPN/easy-rsa.git
-
在本端儲存庫中開啟 easy-rsa/easyrsa3 資料夾:
$ cd easy-rsa/easyrsa3
-
撤銷用戶端憑證,然後產生用戶端撤銷清單:
$ ./easyrsa revoke client_certificate_name
系統提示時,請輸入「是」:
$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g 1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem
憑證撤銷清單檔案的建立位置在 /easy-rsa/easyrsa3/pki/crl.pem。
將憑證撤銷清單檔案匯入用戶端憑證撤銷清單
重要事項: 在您將憑證撤銷清單檔案匯入 AWS 管理主控台後,用戶端對 Client VPN 端點的存取權會遭到永久撤銷。
-
開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台。
-
在導覽窗格中,選擇「Client VPN 端點」。
-
選取您規劃從中匯入用戶端憑證撤銷清單的 Client VPN 端點。
-
選擇「動作」,然後選擇「匯入用戶端憑證 CRL」。
-
複製用戶端憑證撤銷清單 crl.pem 檔案的內容。
$ cat pki/crl.pem-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----
-
針對憑證撤銷清單,輸入用戶端憑證撤銷清單檔案的內容。然後,選擇匯入 CRL。
或者,您可以使用 AWS Command Line Interface (AWS CLI) 匯入用戶端憑證撤銷清單:
aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
**注意事項:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確認您使用的是最新版本的 AWS CLI。
(選用項目) 匯出用戶端憑證撤銷清單
- 開啟 Amazon VPC 主控台。
- 在導覽窗格中,選擇「Client VPN 端點」。
- 選取您規劃從中匯出用戶端憑證撤銷清單的 Client VPN 端點。
- 選擇「動作」,然後選擇「匯出用戶端憑證 CRL」。
- 選擇是,然後選擇「匯出」。
或者,您可以使用 AWS CLI 匯出用戶端憑證撤銷清單:
aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id
相關資訊
用戶端憑證撤銷清單