Listas de revogação de certificados de cliente - AWS Client VPN
Gerar uma lista de revogação de certificados de clienteImportar uma lista de revogação de certificados de clienteExportar uma lista de revogação de certificados de cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Listas de revogação de certificados de cliente

É possível usar listas de revogação de certificados de cliente para revogar o acesso a um endpoint do Client VPN para certificados de cliente específicos.

nota

Para obter mais informações sobre como gerar os certificados e as chaves de servidor e cliente, consulte Autenticação mútua

Para obter mais informações sobre o número de entradas que você pode adicionar a uma lista de revogação de certificados de cliente, consulte Cotas do Client VPN.

Gerar uma lista de revogação de certificados de cliente

Linux/macOS

No procedimento a seguir, gere uma lista de revogação de certificados de cliente usando o utilitário de linha de comando OpenVPN easy-rsa.

Para gerar uma lista de revogação de certificados de cliente usando o OpenVPN easy-rsa

  1. Faça login no servidor que hospeda a instalação de easyrsa usada para gerar o certificado.

  2. Navegue até a pasta easy-rsa/easyrsa3 no seu repositório local.

    $ cd easy-rsa/easyrsa3

  3. Revogar o certificado de cliente e gerar a lista de revogação de cliente.

    $ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl

    Digite yes quando solicitado.

Windows

O procedimento a seguir usa o software OpenVPN para gerar uma lista de revogação de cliente. Ele pressupõe que você seguiu as etapas para usar o software OpenVPN para gerar os certificados e as chaves de cliente e servidor.

Para gerar uma lista de revogação de certificados de cliente usando o EasyRSA versão 3.x.x

  1. Abra um prompt de comando e navegue até o diretório EasyRSA-3.x.x, o que dependerá de onde ele estiver instalado no sistema.

    C:\> cd c:\Users\windows\EasyRSA-3.x.x

  2. Execute o arquivo “EasyRSA-Start.bat” para iniciar o shell EasyRSA.

    C:\> .\EasyRSA-Start.bat

  3. No shell EasyRSA, revogue o certificado do cliente.

    # ./easyrsa revoke client_certificate_name

  4. Digite “yes” (sim) quando solicitado.

  5. Gere a lista de revogação de clientes.

    # ./easyrsa gen-crl

  6. A lista de revogação de cliente será criada neste local:

    c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
Para gerar uma lista de revogação de certificados de cliente usando versões anteriores do EasyRSA

  1. Abra um prompt de comando e navegue até o diretório OpenVPN.

    C:\> cd \Program Files\OpenVPN\easy-rsa

  2. Execute o arquivo vars.bat.

    C:\> vars

  3. Revogar o certificado de cliente e gerar a lista de revogação de cliente.

    C:\> revoke-full client_certificate_name
C:\> more crl.pem

Importar uma lista de revogação de certificados de cliente

Você deve ter um arquivo de lista de revogação de certificados de cliente para importar. Para obter mais informações sobre como gerar uma lista de revogação de certificados de cliente, consulte Gerar uma lista de revogação de certificados de cliente.

Você pode importar uma lista de revogação de certificados de cliente usando o console e a AWS CLI.

Para importar uma lista de revogação de certificados de cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN para o qual você deseja importar a lista de revogação de certificados de cliente.

  4. Escolha Actions (Ações) e Import Client Certificate CRL (Importar CRL de certificados de cliente).

  5. Em Certificate Revocation List (Lista de revogação de certificado), insira o conteúdo do arquivo de lista de revogação de certificados de cliente e escolha Import client certificate CRL (Importar CRL de certificados de cliente).

Para importar uma lista de revogação de certificados de cliente (AWS CLI)

Use o comando import-client-vpn-client-certificate-revocation-list.

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Exportar uma lista de revogação de certificados de cliente

Você pode exportar listas de revogação de certificados de cliente usando o console e a AWS CLI.

Para exportar uma lista de revogação de certificados de cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints da cliente VPN.

  3. Selecione o endpoint do Client VPN para o qual você deseja exportar a lista de revogação de certificados de cliente.

  4. Escolha Actions (Ações), Export Client Certificate CRL (Exportar CRL de certificados de cliente) e Export Client Certificate CRL (Exportar CRL de certificados de cliente).

Para exportar uma revogação de certificado de cliente (AWS CLI)

Use o comando export-client-vpn-client-certificate-revocation-list.