我如何撤销对特定客户端的 Client VPN 终端节点的访问权限?

上次更新时间:2020 年 3 月 25 日

我使用基于证书的身份验证,为多个客户端创建了 AWS Client VPN 终端节点。我如何撤销对特定客户端的 Client VPN 终端节点的访问权限?

简短描述

您可以使用证书撤销列表阻止特定的客户端证书。阻止客户端将撤销其对 Client VPN 终端节点的访问权限。

要撤销客户端证书,您必须:

  1. 生成客户端证书撤销列表
  2. 导入客户端证书撤销列表
  3. (可选)导出客户端证书撤销列表

解决方法

使用 OpenVPN easy-rsa 生成客户端证书撤销列表

1.    将 OpenVPN easy-rsa 存储库克隆到本地计算机上用作本地存储库。

$ git clone https://github.com/OpenVPN/easy-rsa.git

2.    在您的本地存储库中打开 easy-rsa/easyrsa3 文件夹。

$ cd easy-rsa/easyrsa3

3.    撤销客户端证书,然后生成客户端撤销列表。

$ ./easyrsa revoke client_certificate_name

收到系统提示时,键入 yes

$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

证书撤销列表文件在 /easy-rsa/easyrsa3/pki/crl.pem 中创建。

将证书撤销列表文件导入客户端证书撤销列表

重要提示:将证书撤销列表文件导入客户端证书撤销列表后,将永久撤销您的客户端对 Client VPN 终端节点的访问权限。

1.    打开 Amazon Virtual Private Cloud (Amazon VPC) 控制台

2.    在导航窗格中,选择 Client VPN 终端节点

3.    选择您打算导入客户端证书撤销列表的 Client VPN 终端节点。

4.    选择操作,然后选择导入客户端证书 CRL

5.    复制客户端证书撤销列表文件 crl.pem 的内容。

$ cat pki/crl.pem
-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

6.    对于证书撤销列表,输入客户端证书撤销列表文件的内容。然后,选择导入 CRL

或者,您可以使用 AWS 命令行界面 (AWS CLI) 导入客户端证书撤销列表:

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

(可选)导出客户端证书撤销列表

1.    打开 Amazon VPC 控制台

2.     在导航窗格中,选择 Client VPN 终端节点

3.    选择您打算导出客户端证书撤销列表的 Client VPN 终端节点。

4.    选择操作,然后选择导出客户端证书 CRL

5.    选择,然后选择导出

或者,您可以使用 AWS CLI 导出客户端证书撤销列表:

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?