내 CRL에 지정된 사용자가 클라이언트 VPN으로 취소되지 않는 이유는 무엇입니까?

최종 업데이트 날짜: 2021년 1월 27일

인증서를 취소하고 인증서 해지 목록(CRL)을 생성한 다음 CRL을 AWS 클라이언트 VPN으로 가져왔습니다. 특정 사용자에 대한 액세스를 취소하기 위해 다음 단계를 완료했습니다. 그러나 클라이언트 VPN으로 지정된 사용자가 해지되지 않습니다. 이 문제를 해결하려면 어떻게 해야 합니까?

간략한 설명

다음 명령을 사용하여 인증서를 취소하고 CRL을 생성했는지 확인합니다.

$ ./easyrsa revoke revoked.learnaws.local
$ ./easyrsa gen-crl

그런 다음 문제 해결을 계속하려면 다음 단계를 완료합니다.

해결 방법

참고: AWS 명령줄 인터페이스(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

1.    AWS CLI를 사용하여 CRL을 내보낸 다음 “crl.pem” 파일로 저장합니다. 명령 출력의 끝에서 STATUS를 제거해야 합니다.

$ aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id cvpn-endpoint-07ff8ba3d5d3b5188 --output text --region eu-central-1

2.    .crt 및 .key 파일을 사용하여 인증 기관(CA)에 대한 PEM 파일을 만듭니다.

$ openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.p12
$ openssl pkcs12 -in ca.p12 -nodes -out ca.pem

3.    .crt 및 .key 파일을 사용하여 해지해야 하는 인증서에 대한 PEM 파일을 만듭니다.

$ openssl pkcs12 -export -in revoked.learnaws.local.crt -inkey revoked.learnaws.local.key -out revoked.learnaws.local.p12
$ openssl pkcs12 -in revoked.learnaws.local.p12 -nodes -out revoked.learnaws.local.pem

4.    cat 명령을 사용하여 “ca”와 “crl” PEM 파일을 연결합니다.

$ cat ca.pem crl.pem > crl_ca.pem

5.    해지를 확인합니다.

출력이 “OK”인 경우 의도한 대로 취소되지 않습니다. 예상 출력은 “0 깊이 조회 시 오류 23: 인증서가 취소되었습니다(error 23 at 0 depth lookup:certificate revoked)”입니다.

$ openssl verify -crl_check -CAfile crl_ca.pem revoked.learnaws.local.pem

revoked.learnaws.local.pem: CN = revoked.learnaws.local
error 23 at 0 depth lookup:certificate revoked

-또는-

인증서의 일련 번호를 찾은 다음 출력에서 번호를 찾습니다. 일련 번호가 있으면 인증서가 해지됩니다.

예:

client cert: CN=abc.corp.xyz.com, "CertificateArn": "arn:aws:acm:us-east-1:xxxx:certificate/xxxxx-f692-4026-b26f-cfb361cf1b66", "Serial": "b5:99:e8:b9:5d:39:85:5f:8e:a9:b9:2c:10:9f:8b:c3"
$ cd /home/ec2-user/easy-rsa/easyrsa3/pki
$ openssl crl -in crl.pem -text -noout | grep B599E8B95D39855F8EA9B92C109F8BC3

이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요합니까?