Wie kann ich einem bestimmten Client den Zugriff auf einen Client-VPN-Endpunkt entziehen?

Lesedauer: 3 Minute

Ich habe einen AWS-Client-VPN-Endpunkt mit zertifikatsbasierter Authentifizierung für mehrere Kunden erstellt. Ich möchte den Zugriff auf den Client-VPN-Endpunkt für einen bestimmten Client widerrufen.

Kurzbeschreibung

Sie können Zertifikatssperrlisten verwenden, um bestimmte Client-Zertifikate zu blockieren. Wenn Sie Clients blockieren, wird ihnen der Zugriff auf einen Client-VPN-Endpunkt entzogen.

Gehen Sie wie folgt vor, um ein Client-Zertifikat zu widerrufen.

Lösung

Generieren Sie eine Sperrliste für Client-Zertifikate mit OpenVPN easy-rsa

Klonen Sie das OpenVPN easy-rsa-Repository als lokales Repository auf Ihrem lokalen Computer:

$ git clone https://github.com/OpenVPN/easy-rsa.git

Öffnen Sie den Ordner easy-rsa/easyrsa3 in Ihrem lokalen Repository:
```
$ cd easy-rsa/easyrsa3
```

Widerrufen Sie das Client-Zertifikat und generieren Sie dann die Client-Sperrliste:

$ ./easyrsa revoke client_certificate_name

Wenn Sie dazu aufgefordert werden, geben Sie ja ein:

$ ./easyrsa gen-crl     
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

Die Datei mit der Zertifikatssperrliste wird unter /easy-rsa/easyrsa3/pki/crl.pem erstellt.

Importieren Sie die Zertifikatssperrlistendatei in die Zertifikatssperrliste des Clients

Wichtig: Nachdem Sie die Datei mit der Sperrliste für Zertifikate in die AWS-Managementkonsole importiert haben, wird der Zugriff Ihres Clients auf den Client-VPN-Endpunkt dauerhaft gesperrt.

Öffnen Sie die Amazon Virtual Private Cloud (Amazon VPC)-Konsole.
Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.
Wählen Sie den Client-VPN-Endpunkt aus, in den Sie die Sperrliste für Client-Zertifikate importieren möchten.
Wählen Sie Aktionen und dann Zertifikatssperrliste für Client-Zertifikate importieren.

Kopieren Sie den Inhalt der Client-Zertifikatssperrlistendatei crl.pem.

$ cat pki/crl.pem-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

Geben Sie für die Zertifikatssperrliste den Inhalt der Client-Zertifikatssperrlistendatei ein. Wählen Sie dann CRL importieren .
Oder Sie können die Sperrliste für Client-Zertifikate mithilfe des AWS Command Line Interface (AWS CLI) importieren:

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

**Hinweis:**Sollten beim Ausführen von Befehlen der AWS Command Line Interface (AWS CLI) Fehler auftreten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

(Optional) Exportieren Sie die Sperrliste für Client-Zertifikate

Öffnen Sie die Amazon-VPC-Konsole.
Wählen Sie im Navigationsbereich Client-VPN-Endpunkte aus.
Wählen Sie den Client-VPN-Endpunkt aus, von dem Sie die Sperrliste für Client-Zertifikate exportieren möchten.
Wählen Sie Aktionen und dann Exportieren von Client-Zertifikat-CRL.

Wählen Sie Ja und dann Exportieren.
Oder Sie können die Sperrliste der Client-Zertifikate mithilfe des AWS-CLI exportieren:

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Relevanter Inhalt

Warum ist meine statische Website auf Amazon S3 immer noch über öffentliche IP-Adressen zugänglich, obwohl ich den Zugriff auf eine bestimmte Amazon VPC eingeschränkt habe?
AWS OFFICIALAktualisiert vor einem Jahr
Wie erlaube ich nur bestimmten IP-Adressen den Zugriff auf meine API Gateway-REST-API?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich den Zugriff auf eine bestimmte IAM-Rollensitzung mithilfe einer identitätsbasierten IAM-Richtlinie einschränken?
AWS OFFICIALAktualisiert vor 2 Jahren
Kann ich den Zugriff einer IAM-Identität auf bestimmte Amazon-EC2-Ressourcen beschränken?
AWS OFFICIALAktualisiert vor einem Jahr