クライアント証明書失効リスト - AWS クライアント VPN

クライアント証明書失効リスト

クライアント証明書失効リストを使用して、特定のクライアント証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。

注記

サーバーとクライアント証明書の生成の詳細については、「相互認証」を参照してください。

クライアント証明書失効リストに追加できるエントリ数の詳細については、「クライアント VPN クォータ」を参照してください。

クライアント証明書失効リストの生成

Linux/macOS

次の手順では、クライアント証明書失効リストの生成に OpenVPN の Easy-RSA というコマンドラインユーティリティを使用してください。

OpenVPN Easy-RSA を使ってクライアント証明書失効リストを生成するには

  1. ローカルコンピュータに OpenVPN Easy-RSA レポジトリのクローンを作成します。

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. ローカルリポジトリの easy-rsa/easyrsa3 フォルダに移動します。

    $ cd easy-rsa/easyrsa3
  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    $ ./easyrsa revoke client_certificate_name $ ./easyrsa gen-crl

    プロンプトが表示されたら、「 yes」と入力します。

Windows

次の手順では、OpenVPN ソフトウェアを使用してクライアント失効リストを生成します。ここでは、OpenVPN ソフトウェアを使用してクライアントとサーバーの証明書およびキーを生成するステップに従っていることを前提としています。

EasyRSA version 3.x.x を使ってクライアント証明書失効リストを生成するには

  1. コマンドプロンプトを開き、EasyRSA-3.x.x ディレクトリに移動します。これは、お使いのシステムにインストールされている場所に依存します。

    C:\> cd c:\Users\windows\EasyRSA-3.x.x
  2. 「EasyRSA-Start.bat」ファイルを実行して EasyRSA シェルを実行します。

    C:\> .\EasyRSA-Start.bat
  3. EasyRSA シェルで、クライアント証明書を取り消します。

    # ./easyrsa revoke client_certificate_name
  4. プロンプトが表示されたら、「yes」(はい) と入力します。

  5. クライアント証明書失効リストを生成します。

    # ./easyrsa gen-crl
  6. クライアント失効リストは、次の場所に作成されます。

    c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem

以前の EasyRSA バージョンを使用してクライアント証明書失効リストを生成するには

  1. コマンドプロンプトを開き、OpenVPN ディレクトリに移動します。

    C:\> cd \Program Files\OpenVPN\easy-rsa
  2. vars.bat ファイルを実行します。

    C:\> vars
  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    C:\> revoke-full client_certificate_name C:\> more crl.pem

クライアント証明書失効リストのインポート

インポートするクライアント証明書失効リストを持っている必要があります。クライアント証明書失効リストの生成の詳細については、「クライアント証明書失効リストの生成」を参照してください。

クライアント証明書失効リストのインポートには、コンソールと AWS CLI が使用できます。

クライアント証明書失効リストをインポートするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. クライアント証明書失効リストをインポートするクライアント VPN エンドポイントを選択します。

  4. [Actions] を選択し、[Import Client Certificate CRL (クライアント証明書 CRL のインポート)] を選択します。

  5. [Certificate Revocation List] (証明書失効リスト) で、クライアント証明書失効リストファイルの内容を入力し、[Import client certificate CRL] (クライアント証明書 CRL のインポート) を選択します。

クライアント証明書失効リストをインポートするには (AWS CLI)

import-client-vpn-client-certificate-revocation-list コマンドを使用します。

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

クライアント証明書失効リストのエクスポート

クライアント証明書失効リストのエクスポートには、コンソールと AWS CLI が使用できます。

クライアント証明書失効リストをエクスポートするには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. クライアント証明書失効リストをエクスポートするクライアント VPN エンドポイントを選択します。

  4. [Actions] (アクション) を選択し、[Export Client Certificate CRL] (クライアント証明書 CRL のエクスポート) を選択し、[Export Client Certificate CRL] (クライアント証明書 CRL をエクスポートする) を選択します。

クライアント証明書失効をエクスポートするには (AWS CLI)

export-client-vpn-client-certificate-revocation-list コマンドを使用します。