クライアント証明書失効リスト - AWS クライアント VPN

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

クライアント証明書失効リスト

クライアント証明書失効リストを使用して、特定のクライアント証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。

注記

サーバーとクライアント証明書の生成の詳細については、「相互認証」を参照してください。

クライアント証明書失効リストに追加できるエントリ数の詳細については、「クライアント VPN クォータ」を参照してください。

クライアント証明書失効リストの生成

Linux/macOS

次の手順では、クライアント証明書失効リストの生成に OpenVPN の Easy-RSA というコマンドラインユーティリティを使用してください。

OpenVPN Easy-RSA を使ってクライアント証明書失効リストを生成するには

  1. ローカルコンピュータに OpenVPN Easy-RSA レポジトリのクローンを作成します。

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. ローカルリポジトリの easy-rsa/easyrsa3 フォルダに移動します。

    $ cd easy-rsa/easyrsa3
  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    $ ./easyrsa revoke client_certificate_name $ ./easyrsa gen-crl

    プロンプトが表示されたら、「 yes」と入力します。

Windows

次の手順では、OpenVPN ソフトウェアを使用してクライアント失効リストを生成します。ここでは、OpenVPN ソフトウェアを使用してクライアントとサーバーの証明書およびキーを生成するステップに従っていることを前提としています。

クライアント証明書失効リストを生成するには

  1. コマンドプロンプトを開き、OpenVPN ディレクトリに移動します。

    C:\> cd \Program Files\OpenVPN\easy-rsa
  2. vars.bat ファイルを実行します。

    C:\> vars
  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    C:\> revoke-full client_certificate_name C:\> more crl.pem

クライアント証明書失効リストのインポート

インポートするクライアント証明書失効リストを持っている必要があります。クライアント証明書失効リストの生成の詳細については、「クライアント証明書失効リストの生成」を参照してください。

コンソールと AWS CLI を使用して、クライアント証明書失効リストをインポートできます。

クライアント証明書失効リストをインポートするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints (クライアント VPN エンドポイント)] を選択します。

  3. クライアント証明書失効リストをインポートするクライアント VPN エンドポイントを選択します。

  4. [Actions] を選択し、[Import Client Certificate CRL (クライアント証明書 CRL のインポート)] を選択します。

  5. [Certificate Revocation List (証明書失効リスト)] で、クライアント証明書失効リストファイルの内容を入力し、[Import CRL (CRL のインポート)] を選択します。

クライアント証明書失効リストをインポートするには (AWS CLI)、

import-client-vpn-client-certificate-revocation-list コマンドを使用します。

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

クライアント証明書失効リストのエクスポート

コンソールと AWS CLI を使用して、クライアント証明書失効リストをエクスポートできます。

クライアント証明書失効リストをエクスポートするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints (クライアント VPN エンドポイント)] を選択します。

  3. クライアント証明書失効リストをエクスポートするクライアント VPN エンドポイントを選択します。

  4. [Actions (アクション)]、[Export Client Certificate CRL (クライアント証明書 CRL のエクスポート)]、[Yes, Export (はい、エクスポートします)] の順に選択します。

クライアント証明書失効をエクスポートするには (AWS CLI)、

export-client-vpn-client-certificate-revocation-list コマンドを使用します。