Generación de una lista de revocación de certificados del cliente Importación de una lista de revocación de certificados del cliente Exportación de una lista de revocación de certificados del cliente

Listas de revocación de certificados del cliente

Puede utilizar listas de revocación de certificados de cliente para revocar el acceso a un punto de enlace de Client VPN en una serie de certificados de cliente específicos.

nota

Para obtener más información sobre cómo generar los certificados y las claves del cliente y el servidor, consulte Autenticación mutua

Para obtener más información sobre la cantidad de entradas que puede agregar a la lista de revocación de certificados del cliente, consulte Cuotas de Client VPN.

Contenido

Generación de una lista de revocación de certificados del cliente
Importación de una lista de revocación de certificados del cliente
Exportación de una lista de revocación de certificados del cliente

Generación de una lista de revocación de certificados del cliente

Linux/macOS

En el procedimiento siguiente, genera una lista de revocación de certificados del cliente mediante la utilidad de línea de comandos easy-rsa de OpenVPN.

Para generar una lista de revocación de certificados del cliente mediante easy-rsa de OpenVPN

Inicie sesión en el servidor que aloja la instalación easyrsa que se usó para generar el certificado.
Vaya a la carpeta easy-rsa/easyrsa3 de su repositorio local.
```
$ cd easy-rsa/easyrsa3
```
Revocar el certificado de cliente y generar la lista de revocación de cliente.
```
$ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl
```
Escriba yes cuando se le solicite.

Windows

El siguiente procedimiento utiliza el software OpenVPN para generar una lista de revocación de clientes. Se supone que ha seguido los pasos para utilizar el software OpenVPN para generar los certificados y claves de cliente y servidor.

Para generar una lista de revocación de certificados de cliente utilizando EasyRSA versión 3.x.x

Abra un símbolo del sistema y navegue hasta el directorio EasyRSA-3.x.x, que dependerá de dónde esté instalado en el sistema.
```
C:\> cd c:\Users\windows\EasyRSA-3.x.x
```
Ejecute el archivo “EasyRSA-Start.bat” para iniciar el shell de EasyRSA.
```
C:\> .\EasyRSA-Start.bat
```
Revoque el certificado del cliente en el shell de EasyRSA.
```
# ./easyrsa revoke client_certificate_name
```
Escriba “sí” cuando se le solicite.
Genere la lista de revocación de clientes.
```
# ./easyrsa gen-crl
```
La lista de revocación de clientes se creará en la siguiente ubicación:
```
c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
```

Para generar una lista de revocación de certificados de cliente utilizando versiones anteriores de EasyRSA

Abra un símbolo del sistema y vaya al directorio de OpenVPN.
```
C:\> cd \Program Files\OpenVPN\easy-rsa
```
Ejecute el archivo vars.bat.
```
C:\> vars
```
Revocar el certificado de cliente y generar la lista de revocación de cliente.
```
C:\> revoke-full client_certificate_name
C:\> more crl.pem
```

Importación de una lista de revocación de certificados del cliente

Debe tener un archivo de lista de revocación de certificados de cliente para importarlo. Para obtener más información sobre cómo generar una lista de revocación de certificados del cliente, consulte Generación de una lista de revocación de certificados del cliente.

Puede importar una lista de revocación de certificados del cliente mediante la consola y la AWS CLI.

Para importar una lista de revocación de certificados del cliente (consola)

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Client VPN Endpoints (Puntos de enlace de Client VPN).
Seleccione el punto de enlace de Client VPN para el que va a importar la lista de revocación de certificados del cliente.
Elija Actions (Acciones) y seleccione Import Client Certificate CRL (Importar CRL de certificados de cliente).
En Certificate Revocation List (Lista de revocación de certificados), ingrese el archivo de la lista de revocación de certificados del cliente y seleccione Import client certificate CRL (Importar CRL de certificados de cliente).

Para importar una lista de revocación de certificados del cliente (AWS CLI)

Utilice el comando import-client-vpn-client-certificate-revocation-list.


$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Exportación de una lista de revocación de certificados del cliente

Puede exportar listas de revocación de certificados del cliente mediante la consola y la AWS CLI.

Para exportar una lista de revocación de certificados del cliente (consola)

Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
En el panel de navegación, elija Client VPN Endpoints (Puntos de enlace de Client VPN).
Seleccione el punto de enlace de Client VPN para el que va a exportar la lista de revocación de certificados del cliente.
Elija Actions (Acciones), seleccione Export Client Certificate CRL (Exportar CRL de certificados de cliente) y elija Export Client Certificate CRL (Exportar CRL de certificados de cliente).

Para exportar una lista de revocación de certificados del cliente (AWS CLI)

Utilice el comando export-client-vpn-client-certificate-revocation-list.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de escenarios

Conexiones de clientes