CRL で指定されたユーザーがクライアント VPN によって取り消されないのはなぜですか?

最終更新日: 2021 年 1 月 27 日

証明書を取り消し、証明書失効リスト (CRL) を生成し、その CRL を AWS クライアント VPN にインポートしました。特定のユーザーのアクセスを取り消すために、これらの手順を完了しました。しかし、指定されたユーザーはクライアント VPN によって取り消されません。どうすれば解決できますか?

簡単な説明

証明書を取り消して、CRL を生成するために、次のコマンドを使用したことを確認します。

$ ./easyrsa revoke revoked.learnaws.local
$ ./easyrsa gen-crl

その後、次の手順を実行して、トラブルシューティングを続行します。

解決方法

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、最新の AWS CLI バージョンを使用していることを確認してください

1.    AWS CLI を使用して CRL をエクスポートし、「crl.pem」ファイルとして保存します。コマンド出力の最後にある STATUS を削除してください。

$ aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id cvpn-endpoint-07ff8ba3d5d3b5188 --output text --region eu-central-1

2.    .crt ファイルおよび .key ファイルを使用して、認証局 (CA) の PEM ファイルを作成します。

$ openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12
$ openssl pkcs12 -in ca.p12 -nodes -out ca.pem

3.    .crt ファイルおよび .key ファイルを使用して、取り消される必要がある証明書の PEM ファイルを作成します。

$ openssl pkcs12 -export -in revoked.learnaws.local.crt -inkey revoked.learnaws.local.key -out revoked.learnaws.local.p12
$ openssl pkcs12 -in revoked.learnaws.local.p12 -nodes -out revoked.learnaws.local.pem

4.    cat コマンドを使用して、「ca」および「crl」PEM ファイルを連結します。

$ cat ca.pem crl.pem > crl_ca.pem

5.    取り消しを確認します。

出力が「OK」の場合、意図したとおりに取り消されません。想定される出力は、「深さ 0 のルックアップでエラー 23: 証明書が取り消されました」です。

$ openssl verify -crl_check -CAfile crl_ca.pem revoked.learnaws.local.pem

revoked.learnaws.local.pem: CN = revoked.learnaws.local
error 23 at 0 depth lookup:certificate revoked

- または -

証明書のシリアル番号を検索し、出力内の番号を探します。シリアル番号が存在する場合、証明書は取り消されます。

例:

client cert: CN=abc.corp.xyz.com, "CertificateArn": "arn:aws:acm:us-east-1:xxxx:certificate/xxxxx-f692-4026-b26f-cfb361cf1b66", "Serial": "b5:99:e8:b9:5d:39:85:5f:8e:a9:b9:2c:10:9f:8b:c3"
$ cd /home/ec2-user/easy-rsa/easyrsa3/pki
$ openssl crl -in crl.pem -text -noout | grep B599E8B95D39855F8EA9B92C109F8BC3

この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?