AWS Client VPN クライアント証明書失効リストの生成 - AWS Client VPN

AWS Client VPN クライアント証明書失効リストの生成

Linux/macOS または Windows オペレーティングシステムでクライアント VPN 証明書失効リストを生成できます。失効リストを使用して、特定の証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。クライアント証明書失効リストの生成の詳細については、「クライアント証明書失効リスト」を参照してください。

Linux/macOS

次の手順では、クライアント証明書失効リストの生成に OpenVPN の Easy-RSA というコマンドラインユーティリティを使用してください。

OpenVPN Easy-RSA を使ってクライアント証明書失効リストを生成するには

  1. 証明書の生成に使用した easyrsa インストールをホストしているサーバーにログインします。

  2. ローカルリポジトリの easy-rsa/easyrsa3 フォルダに移動します。

    $ cd easy-rsa/easyrsa3

  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    $ ./easyrsa revoke client1.domain.tld
$ ./easyrsa gen-crl

    プロンプトが表示されたら、yes を入力します。

Windows

次の手順では、OpenVPN ソフトウェアを使用してクライアント失効リストを生成します。ここでは、OpenVPN ソフトウェアを使用してクライアントとサーバーの証明書およびキーを生成するステップに従っていることを前提としています。

EasyRSA version 3.x.x を使ってクライアント証明書失効リストを生成するには

  1. コマンドプロンプトを開き、EasyRSA-3.x.x ディレクトリに移動します。これは、お使いのシステムにインストールされている場所に依存します。

    C:\> cd c:\Users\windows\EasyRSA-3.x.x

  2. EasyRSA-Start.bat ファイルを実行して EasyRSA シェルを起動します。

    C:\> .\EasyRSA-Start.bat

  3. EasyRSA シェルで、クライアント証明書を取り消します。

    # ./easyrsa revoke client_certificate_name

  4. プロンプトが表示されたら、yes を入力します。

  5. クライアント証明書失効リストを生成します。

    # ./easyrsa gen-crl

  6. クライアント失効リストは、次の場所に作成されます。

    c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
以前の EasyRSA バージョンを使用してクライアント証明書失効リストを生成するには

  1. コマンドプロンプトを開き、OpenVPN ディレクトリに移動します。

    C:\> cd \Program Files\OpenVPN\easy-rsa

  2. vars.bat ファイルを実行します。

    C:\> vars

  3. クライアント証明書を取り消し、クライアント失効リストを生成します。

    C:\> revoke-full client_certificate_name
C:\> more crl.pem