如何為特定用戶端撤銷 Client VPN 端點的存取權?

1 分的閱讀內容
0

我為多個用戶端建立了憑證型鑑別的 AWS Client VPN 端點。我想要為特定用戶端撤銷 Client VPN 端點的存取權。

簡短說明

使用憑證撤銷清單封鎖特定的用戶端憑證。您封鎖用戶端時,即會撤銷其對 Client VPN 端點的存取權。

若要撤銷用戶端憑證,請完成下列步驟。

解決方案

使用 OpenVPN easy-rsa 產生用戶端憑證撤銷清單

  1. 複製 OpenVPN easy-rsa 儲存庫,將其作為本端電腦上的本端儲存庫:

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. 在本端儲存庫中開啟 easy-rsa/easyrsa3 資料夾:

    $ cd easy-rsa/easyrsa3
  3. 撤銷用戶端憑證,然後產生用戶端撤銷清單:

    $ ./easyrsa revoke client_certificate_name

    系統提示時,請輸入「」:

    $ ./easyrsa gen-crl     
    Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
    Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
    An updated CRL has been created.
    CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

    憑證撤銷清單檔案的建立位置在 /easy-rsa/easyrsa3/pki/crl.pem

將憑證撤銷清單檔案匯入用戶端憑證撤銷清單

重要事項: 在您將憑證撤銷清單檔案匯入 AWS 管理主控台後,用戶端對 Client VPN 端點的存取權會遭到永久撤銷。

  1. 開啟 Amazon Virtual Private Cloud (Amazon VPC) 主控台

  2. 在導覽窗格中,選擇「Client VPN 端點」。

  3. 選取您規劃從中匯入用戶端憑證撤銷清單的 Client VPN 端點。

  4. 選擇「動作」,然後選擇「匯入用戶端憑證 CRL」。

  5. 複製用戶端憑證撤銷清單 crl.pem 檔案的內容。

    $ cat pki/crl.pem-----BEGIN X509 CRL-----
    Base64–encoded certificate
    -----END X509 CRL-----
  6. 針對憑證撤銷清單,輸入用戶端憑證撤銷清單檔案的內容。然後,選擇匯入 CRL
    或者,您可以使用 AWS Command Line Interface (AWS CLI) 匯入用戶端憑證撤銷清單:

    aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

**注意事項:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤,請確認您使用的是最新版本的 AWS CLI

(選用項目) 匯出用戶端憑證撤銷清單

  1. 開啟 Amazon VPC 主控台
  2. 在導覽窗格中,選擇「Client VPN 端點」。
  3. 選取您規劃從中匯出用戶端憑證撤銷清單的 Client VPN 端點。
  4. 選擇「動作」,然後選擇「匯出用戶端憑證 CRL」。
  5. 選擇,然後選擇「匯出」。
    或者,您可以使用 AWS CLI 匯出用戶端憑證撤銷清單:
    aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

相關資訊

用戶端憑證撤銷清單

AWS 官方
AWS 官方已更新 1 年前