Elenchi di revoche di certificati client - AWS Client VPN
Generazione di un elenco di revoche di certificati clientImportazione di un elenco di revoche di certificati clientEsportazione di un elenco di revoche di certificati client

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Elenchi di revoche di certificati client

Puoi utilizzare gli elenchi di revoche di certificati client per revocare l'accesso a un endpoint Client VPN per certificati client specifici.

Nota

Per ulteriori informazioni sulla creazione di certificati e chiavi server e client, consulta Autenticazione reciproca

Per ulteriori informazioni sul numero di voci che è possibile aggiungere a un elenco di revoche di certificati client, consulta Quote Client VPN.

Generazione di un elenco di revoche di certificati client

Linux/macOS

Nella seguente procedura, viene generato un elenco di revoche di certificati client utilizzando la utility a riga di comando OpenVPN easy-rsa.

Per generare un elenco di revoche di certificati client utilizzando OpenVPN easy-rsa

  1. Accedi al server che ospita l'installazione di easyrsa utilizzata per generare il certificato.

  2. Passare alla cartella easy-rsa/easyrsa3 nel repository locale.

    $ cd easy-rsa/easyrsa3

  3. Revocare il certificato client e generare l'elenco di revoche client.

    $ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl

    Digitare yes quando richiesto.

Windows

La procedura seguente utilizza il software OpenVPN per generare un elenco di revoche client. Si presuppone che sia stata eseguita la procedura per l'utilizzo del software OpenVPN per generare i certificati e le chiavi client e server.

Per generare un elenco di revoche di certificati client utilizzando EasyRSA versione 3.x.x

  1. Aprire un prompt dei comandi e accedere alla directory EasyRSA-3.x.x, che dipenderà da dove la directory è installata sul sistema.

    C:\> cd c:\Users\windows\EasyRSA-3.x.x

  2. Eseguire il file "EasyRSA-Start.bat" per avviare la shell EasyRSA.

    C:\> .\EasyRSA-Start.bat

  3. Nella shell EasyRSA, revocare il certificato client.

    # ./easyrsa revoke client_certificate_name

  4. Digitare "yes" quando richiesto.

  5. Generare l'elenco di revoche client.

    # ./easyrsa gen-crl

  6. L'elenco di revoche client verrà creato nella seguente posizione:

    c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
Per generare un elenco di revoche di certificati client utilizzando le versioni precedenti di EasyRSA

  1. Aprire un prompt dei comandi e passare alla directory di OpenVPN.

    C:\> cd \Program Files\OpenVPN\easy-rsa

  2. Esegui il file vars.bat.

    C:\> vars

  3. Revocare il certificato client e generare l'elenco di revoche client.

    C:\> revoke-full client_certificate_name
C:\> more crl.pem

Importazione di un elenco di revoche di certificati client

È necessario avere un file con l'elenco di revoche di certificati client da importare. Per ulteriori informazioni sulla creazione di un elenco di revoche di certificati client, consulta Generazione di un elenco di revoche di certificati client.

Puoi importare un elenco di revoche di certificati client utilizzando la console e la AWS CLI.

Per importare un elenco di revoche di certificati client (console)

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

  3. Seleziona l'endpoint Client VPN per cui importare l'elenco di revoche di certificati client.

  4. Scegliere Operazioni, quindi Import Client Certificate CRL (Importa elenco di revoche di certificati client).

  5. Per Elenco di revoche di certificati, immettere il contenuto del file con l'elenco di revoche di certificati client e scegliere Import CRL (Importa elenco di revoche di certificati).

Per importare un elenco di revoche di certificati client (AWS CLI)

Utilizza il comando import-client-vpn-client-certificate-revocation-list.

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Esportazione di un elenco di revoche di certificati client

Puoi esportare gli elenchi di revoche di certificati client utilizzando la console e la AWS CLI.

Per esportare un elenco di revoche di certificati client (console)

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).

  3. Seleziona l'endpoint Client VPN per cui esportare l'elenco di revoche di certificati client.

  4. Scegliere Operazioni, selezionare Export Client Certificate CRL (Esporta elenco di revoche di certificati clienti), quindi scegliere Export Client Certificate CRL (Esporta elenco di revoche di certificati clienti).

Per esportare una revoca di certificato client (AWS CLI)

Utilizza il comando export-client-vpn-client-certificate-revocation-list.