특정 클라이언트의 클라이언트 VPN 엔드포인트 액세스 권한을 취소하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 3월 25일

인증서를 기반으로 여러 클라이언트를 인증하는 AWS 클라이언트 VPN 엔드포인트를 생성했습니다. 특정 클라이언트의 클라이언트 VPN 엔드포인트 액세스 권한을 취소하려면 어떻게 해야 합니까?

간략한 설명

인증서 취소 목록을 사용하여 특정 클라이언트 인증서를 차단할 수 있습니다. 클라이언트를 블랙리스트에 올리면 클라이언트 VPN 엔드포인트에 대한 액세스 권한이 취소됩니다.

클라이언트 인증서를 취소하려면 다음을 수행해야 합니다.

  1. 클라이언트 인증서 취소 목록 생성
  2. 클라이언트 인증서 취소 목록 가져오기
  3. (선택 사항) 클라이언트 인증서 취소 목록 내보내기

​해결 방법

OpenVPN easy-rsa를 사용하여 클라이언트 인증서 취소 목록 생성

1.    OpenVPN easy-rsa 리포지토리를 로컬 컴퓨터의 로컬 리포지토리로 복제합니다.

$ git clone https://github.com/OpenVPN/easy-rsa.git

2.    로컬 리포지토리에서 easy-rsa/easyrsa3 폴더를 엽니다.

$ cd easy-rsa/easyrsa3

3.    클라이언트 인증서를 취소한 다음 클라이언트 취소 목록을 생성합니다.

$ ./easyrsa revoke client_certificate_name

메시지가 나타나면 yes를 입력합니다.

$ ./easyrsa gen-crl
Using SSL: openssl OpenSSL 1.0.2g  1 Mar 2016
Using configuration from /home/easy-rsa/easyrsa3/pki/easy-rsa-31222.LsDpvT/tmp.t5FIi8
An updated CRL has been created.
CRL file: /home/easy-rsa/easyrsa3/pki/crl.pem

인증서 취소 목록 파일은 /easy-rsa/easyrsa3/pki/crl.pem에 생성됩니다.

인증서 취소 목록 파일을 클라이언트 인증서 취소 목록으로 가져오기

중요: 인증서 취소 목록 파일을 클라이언트 인증서 취소 목록으로 가져오고 나면 클라이언트 VPN 엔드포인트에 대한 클라이언트의 액세스 권한이 영구적으로 취소됩니다.

1.    Amazon Virtual Private Cloud(Amazon VPC) 콘솔을 엽니다.

2.    탐색 창에서 [클라이언트 VPN 엔드포인트]를 선택합니다.

3.    클라이언트 인증서 취소 목록을 가져올 클라이언트 VPN 엔드포인트를 선택합니다.

4.    [작업]을 선택한 다음 [클라이언트 인증서 CRL 가져오기]를 선택합니다.

5.    클라이언트 인증서 취소 목록 파일 crl.pem의 내용을 복사합니다.

$ cat pki/crl.pem
-----BEGIN X509 CRL-----
Base64–encoded certificate
-----END X509 CRL-----

6.    [인증서 취소 목록]에 클라이언트 인증서 취소 목록 파일의 내용을 입력합니다. 그런 다음 [CRL 가져오기]를 선택합니다.

또는 AWS 명령줄 인터페이스(AWS CLI)를 사용하여 클라이언트 인증서 취소 목록을 가져올 수 있습니다.

aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

(선택 사항) 클라이언트 인증서 취소 목록 내보내기

1.    Amazon VPC 콘솔을 엽니다.

2.     탐색 창에서 [클라이언트 VPN 엔드포인트]를 선택합니다.

3.    클라이언트 인증서 취소 목록을 내보낼 클라이언트 VPN 엔드포인트를 선택합니다.

4.    [작업]을 선택한 다음 [클라이언트 인증서 CRL 내보내기]를 선택합니다.

5.    []를 선택한 다음 [내보내기]를 선택합니다.

또는 AWS CLI를 사용하여 클라이언트 인증서 취소 목록을 내보낼 수 있습니다.

aws ec2 export-client-vpn-client-certificate-revocation-list --client-vpn-endpoint-id endpoint_id

이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?