特定クライアントのクライアント VPN エンドポイントへのアクセスを取り消すにはどうすればよいですか?

最終更新日: 2020 年 3 月 25 日

複数クライアント用の証明書ベースの認証を使用して AWS クライアント VPN エンドポイントを作成しました。特定クライアントのクライアント VPN エンドポイントへのアクセスを取り消すには、どうすればよいですか?

簡単な説明

証明書失効リストを使用して特定のクライアント証明書をブロックすることができます。クライアントをブロックすると、Client VPN エンドポイントへのアクセスが取り消されます。

クライアント証明書を取り消すには、以下の手順を実施する必要があります。

  1. クライアント証明書失効リストを生成する
  2. クライアント証明書失効リストをインポートする
  3. (オプション) クライアント証明書失効リストをエクスポートする

解決方法

OpenVPN easy-rsa を使用してクライアント証明書失効リストを生成する

1.    OpenVPN easy-rsa リポジトリのクローンを、ローカルコンピュータ上にローカルリポジトリとして作成します。

$ git clone https://github.com/OpenVPN/easy-rsa.git

2.    ローカルリポジトリの easy-rsa/easyrsa3 フォルダを開きます。

$ cd easy-rsa/easyrsa3

3.    当該のクライアント証明書を取り消し、クライアント失効リストを生成します。

$ ./easyrsa revoke client_certificate_name

プロンプトが表示されたら、yes と入力します。

$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

証明書失効リストファイルの作成場所は、/easy-rsa/easyrsa3/pki/crl.pem です。

証明書失効リスファイルをクライアント証明書失効リストにインポートする

重要: 証明書失効リストファイルをクライアント証明書失効リストにインポートすると、クライアントによるクライアント VPN エンドポイントへのアクセスは、永久に取り消されます。

1.    Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。

2.    ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

3.    クライアント証明書失効リストのインポート先となるクライアント VPN エンドポイントを選択します。

4.    [アクション] を選択し、[クライアント証明書 CRL をインポート] を選択します。

5.    クライアント証明書失効リストファイル crl.pem の内容をコピーします。

$ cat pki/crl.pem
-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

6.    [証明書失効リスト] に、コピーしたクライアント証明書失効リストファイルの内容を入力します。そして、[CRL をインポート] を選択します。

または、AWS コマンドラインインターフェイス (AWS CLI) を使用してクライアント証明書失効リストをインポートすることもできます。

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

(オプション) クライアント証明書失効リストをエクスポートする

1.    Amazon VPC コンソールを開きます。

2.     ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。

3.    クライアント証明書失効リストのエクスポート元となるクライアント VPN エンドポイントを選択します。

4.    [アクション] を選択し、[クライアント証明書 CRL をエクスポート] を選択します。

5.    [はい] を選択し、[エクスポート] を選択します。

または、AWS CLI を使用してクライアント証明書失効リストをエクスポートすることもできます。

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

この記事は役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合