Comment révoquer l'accès à un point de terminaison VPN client pour un client spécifique ?

Date de la dernière mise à jour : 25/03/2020

J'ai créé un point de terminaison VPN client AWS avec authentification basée sur un certificat pour plusieurs clients. Comment puis-je révoquer l'accès au point de terminaison VPN client pour un client spécifique ?

Brève description

Vous pouvez utiliser des listes de révocation de certificats pour bloquer des certificats client spécifiques. Le blocage de clients révoque leur accès au point de terminaison VPN client.

Pour révoquer un certificat client, vous devez :

  1. Générer une liste de révocation de certificats client
  2. Importer une liste de révocation de certificats client
  3. (Facultatif) Exporter la liste de révocation de certificats client

Solution

Générer une liste de révocation de certificats client à l'aide d'OpenVPN easy-rsa

1.    Clonez le référentiel OpenVPN easy-rsa en tant que référentiel local sur votre ordinateur local.

$ git clone https://github.com/OpenVPN/easy-rsa.git

2.    Ouvrez le dossier easyrsa/easyrsa3 dans votre référentiel local.

$ cd easy-rsa/easyrsa3

3.    Révoquez le certificat client, puis générez la liste de révocation client.

$ ./easyrsa revoke client_certificate_name

Tapez yes (oui) lorsque vous y êtes invité.

$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

Le fichier de liste de révocation de certificats est créé sous /easy-rsa/easyrsa3/pki/crl.pem.

Importer le fichier de liste de révocation de certificats dans la liste de révocation de certificats client

Important : après l'importation du fichier de liste de révocation de certificats dans la liste de révocation de certificats client, l'accès de votre client au point de terminaison VPN client est définitivement révoqué.

1.    Ouvrez la console Amazon Virtual Private Cloud (Amazon VPC).

2.    Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison VPN client).

3.    Sélectionnez le point de terminaison VPN client dans lequel vous prévoyez d'importer la liste de révocation de certificats client.

4.    Choisissez Actions, puis Import Client Certificate CRL (Importer la liste CRL de certificats client).

5.    Copiez le contenu du fichier de liste de révocation de certificats client crl.pem.

$ cat pki/crl.pem
-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

6.    Pour Certificate Revocation List (Liste de révocation de certificats), entrez le contenu du fichier de liste de révocation de certificats client. Choisissez ensuite Import CRL (Importer la liste CRL).

Vous pouvez également importer la liste de révocation de certificats client à l'aide de l'interface de ligne de commande AWS (CLI AWS) :

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

(Facultatif) Exporter la liste de révocation de certificats client

1.    Ouvrez la console Amazon VPC.

2.     Dans le volet de navigation, choisissez Client VPN Endpoints (Points de terminaison VPN client).

3.    Sélectionnez le point de terminaison VPN client à partir duquel vous prévoyez d'exporter la liste de révocation de certificats client.

4.    Choisissez Actions, puis Export Client Certificate CRL (Exporter la liste CRL de certificats client).

5.    Choisissez Yes (Oui), puis Export (Exporter).

Vous pouvez également exporter la liste de révocation de certificats client à l'aide de l'interface de ligne de commande AWS :

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

Cette page vous a-t-elle été utile ?

Cette page peut-elle être améliorée ?


Vous avez besoin d’aide ?