Listas de revogação de certificados de cliente - AWSClient VPN

Listas de revogação de certificados de cliente

É possível usar listas de revogação de certificados de cliente para revogar o acesso a um endpoint do Client VPN para certificados de cliente específicos.

nota

Para obter mais informações sobre como gerar os certificados e as chaves de servidor e cliente, consulte Autenticação mútua

Para obter mais informações sobre o número de entradas que você pode adicionar a uma lista de revogação de certificados de cliente, consulte Cotas do Client VPN.

Gerar uma lista de revogação de certificados de cliente

Linux/macOS

No procedimento a seguir, gere uma lista de revogação de certificados de cliente usando o utilitário de linha de comando OpenVPN easy-rsa.

Para gerar uma lista de revogação de certificados de cliente usando o OpenVPN easy-rsa

  1. Clone o repositório OpenVPN easy-rsa no seu computador local.

    $ git clone https://github.com/OpenVPN/easy-rsa.git
  2. Navegue até a pasta easy-rsa/easyrsa3 no seu repositório local.

    $ cd easy-rsa/easyrsa3
  3. Revogar o certificado de cliente e gerar a lista de revogação de cliente.

    $ ./easyrsa revoke client_certificate_name $ ./easyrsa gen-crl

    Digite yes quando solicitado.

Windows

O procedimento a seguir usa o software OpenVPN para gerar uma lista de revogação de cliente. Ele pressupõe que você seguiu as etapas para usar o software OpenVPN para gerar os certificados e as chaves de cliente e servidor.

Como gerar uma lista de revogação de certificados de cliente

  1. Abra um prompt de comando e navegue até o diretório OpenVPN.

    C:\> cd \Program Files\OpenVPN\easy-rsa
  2. Execute o arquivo vars.bat.

    C:\> vars
  3. Revogar o certificado de cliente e gerar a lista de revogação de cliente.

    C:\> revoke-full client_certificate_name C:\> more crl.pem

Importar uma lista de revogação de certificados de cliente

Você deve ter um arquivo de lista de revogação de certificados de cliente para importar. Para obter mais informações sobre como gerar uma lista de revogação de certificados de cliente, consulte Gerar uma lista de revogação de certificados de cliente.

Você pode importar uma lista de revogação de certificados de cliente usando o console e a AWS CLI.

Para importar uma lista de revogação de certificados de cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN para o qual você deseja importar a lista de revogação de certificados de cliente.

  4. Escolha Actions (Ações) e Import Client Certificate CRL (Importar CRL de certificados de cliente).

  5. For Certificate Revocation List (Lista de revogação de certificado), insira o conteúdo do arquivo de lista de revogação de certificados de cliente e escolha Import CRL (Importar CRL).

Para importar uma lista de revogação de certificados de cliente (AWS CLI)

Use o comando import-client-vpn-client-certificate-revocation-list.

$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file:path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region

Exportar uma lista de revogação de certificados de cliente

Você pode exportar listas de revogação de certificados de cliente usando o console e a AWS CLI.

Para exportar uma lista de revogação de certificados de cliente (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN para o qual você deseja exportar a lista de revogação de certificados de cliente.

  4. Escolha Actions (Ações), Export Client Certificate CRL (Exportar CRL de certificados de cliente) e depois Yes, Export (Sim, exportar).

Para exportar uma revogação de certificado de cliente (AWS CLI)

Use o comando export-client-vpn-client-certificate-revocation-list.