¿Cómo puedo revocar el acceso a un punto de conexión de Client VPN en el caso de un cliente concreto?

Breve descripción

Puede usar listas de revocación de certificados para bloquear certificados de clientes concretos. El bloqueo de los clientes revoca su acceso a un punto de conexión de Client VPN.

Para revocar un certificado de cliente, siga estos pasos.

Solución

Generación de una lista de revocación de certificados del cliente mediante easy-rsa de OpenVPN

1. Clone el repositorio easy-rsa de OpenVPN como repositorio local en su equipo local:

   $ git clone https://github.com/OpenVPN/easy-rsa.git

2. Abra la carpeta easy-rsa/easyrsa3 en su repositorio local:

   $ cd easy-rsa/easyrsa3

3. Revoque el certificado del cliente y, a continuación, genere la lista de revocación del cliente:

   $ ./easyrsa revoke client_certificate_name

   Cuando se le solicite, indique sí:

   $ ./easyrsa gen-crl     
   Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
   Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
   An updated CRL has been created.
   CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

   El archivo de lista de revocación de certificados se crea en /easy-rsa/easyrsa3/pki/crl.pem.

Importación del archivo de lista de revocación de certificados a la lista de revocación de certificados del cliente

Importante: Tras importar el archivo de la lista de revocación de certificados a la Consola de administración de AWS, el acceso del cliente al punto de conexión de Client VPN se revoca definitivamente.

1. Abra la consola de Amazon Virtual Private Cloud (Amazon VPC).

2. En el panel de navegación, seleccione Puntos de conexión de Client VPN.

3. Seleccione el punto de conexión de Client VPN al que va a importar la lista de revocación de certificados del cliente.

4. Elija Acciones y, a continuación, Importar CRL de certificados de cliente.

5. Copie el contenido del archivo crl.pem de la lista de revocación de certificados del cliente.

   $ cat pki/crl.pem-----BEGIN X509 CRL-----
   Base64–encoded certificate
   -----END X509 CRL-----

6. En Lista de revocación de certificados, introduzca el contenido del archivo de la lista de revocación de certificados del cliente. A continuación, seleccione Importar CRL.
   Como alternativa, puede importar la lista de revocación de certificados del cliente mediante la Interfaz de la línea de comandos de AWS (AWS CLI):

   aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), compruebe si está utilizando la versión más reciente de AWS CLI.

(Opcional) Exportación de la lista de revocación de certificados del cliente

1. Abra la consola de Amazon VPC.
2. En el panel de navegación, seleccione Puntos de conexión de Client VPN.
3. Seleccione el punto de conexión de Client VPN desde el que tiene previsto exportar la lista de revocación de certificados del cliente.
4. Elija Acciones y, a continuación, Exportar CRL del certificado de cliente.
5. Elija Sí y, a continuación, seleccione Exportar.
   Como alternativa, puede exportar la lista de revocación de certificados del cliente mediante AWS CLI:

   aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Información relacionada

Listas de revocación de certificados del cliente