Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Client VPN Sperrlisten für Client-Zertifikate
<a name="cvpn-working-certificates"></a>

Sperrlisten für Client-VPN-Clientzertifikate werden verwendet, um bestimmten Client-Zertifikaten den Zugriff auf einen Client-VPN-Endpunkt zu entziehen. Sie können entweder eine Sperrliste erstellen oder eine vorhandene Liste importieren. Sie können Ihre aktuelle Liste auch als Sperrlistendatei exportieren. Das Generieren einer Liste erfolgt mit der OpenVPN-Software unter Linux/macOS oder unter Windows. Import und Export können entweder über die Amazon VPC-Konsole oder über die AWS CLI erfolgen. 

Weitere Informationen über die Generierung der Server- und Client-Zertifikate und Schlüssel finden Sie unter [Gegenseitige Authentifizierung in AWS Client VPN](mutual.md)

**Anmerkung**  
Wenn eine Sperrliste für Client-Zertifikate abgelaufen ist, können Sie keine Verbindung zum Client-VPN-Endpunkt herstellen. Sie müssen eine neue erstellen und sie in den Client-VPN-Endpunkt importieren. 

Sie können einer Sperrliste für Client-Zertifikate nur eine begrenzte Anzahl von Einträgen hinzufügen. Weitere Hinweise zur Anzahl der Einträge, die Sie einer Sperrliste hinzufügen können, finden Sie unter[Client VPN-Kontingente](limits.md#quotas-endpoints).

**Topics**
+ [Generieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-generate.md)
+ [Importieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-import.md)
+ [Exportieren einer Client-Zertifikatsperrliste](cvpn-working-certificates-export.md)

# Generieren Sie eine Sperrliste für AWS Client VPN Client-Zertifikate
<a name="cvpn-working-certificates-generate"></a>

Sie können eine Sperrliste für Client-VPN-Zertifikate entweder auf einem Linux/macOS oder einem Windows-Betriebssystem erstellen. Die Sperrliste wird verwendet, um bestimmten Zertifikaten den Zugriff auf einen Client-VPN-Endpunkt zu entziehen. Weitere Informationen zu Sperrlisten für Client-Zertifikate finden Sie unter[Client-Zertifikatsperrlisten](cvpn-working-certificates.md).

------
#### [ Linux/macOS ]

Im folgenden Verfahren generieren Sie eine Client-Zertifikatssperrliste mithilfe des Befehlszeilen-Dienstprogramms OpenVPN Easy-RSA.

**So generieren Sie eine Client-Zertifikatssperrliste mit OpenVPN Easy-RSA**

1. Melden Sie sich bei dem Server an, der die easyrsa-Installation hostet, mit der das Zertifikat generiert wurde.

1. Wechseln Sie in den `easy-rsa/easyrsa3`-Ordner in Ihrem lokalen Repository.

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. Widerrufen Sie das Client-Zertifikat und erstellen Sie die Client-Widerrufsliste.

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   Geben Sie ein, `yes` wenn Sie aufgefordert werden.

------
#### [ Windows ]

Im folgenden Verfahren wird die OpenVPN-Software verwendet, um eine Client-Sperrliste zu generieren. Es wird davon ausgegangen, dass Sie die [Schritte zur Verwendung der OpenVPN-Software](mutual.md) zum Generieren der Client- und Serverzertifikate und Schlüssel befolgt haben.

**So generieren Sie eine Client-Zertifikatssperrliste mit EasyRSA-Version 3.x.x**

1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zum Verzeichnis EasyRSA-3.x.x, was davon abhängt, wo es auf Ihrem System installiert ist.

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. Führen Sie die `EasyRSA-Start.bat` Datei aus, um die easyRSA-Shell zu starten.

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. Sperren Sie in der EasyRSA-Shell das Client-Zertifikat.

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. Geben Sie `yes` bei Aufforderung ein.

1. Generieren Sie die Client-Sperrliste.

   ```
   # ./easyrsa gen-crl
   ```

1. Die Client-Sperrliste wird am folgenden Speicherort erstellt:

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**So generieren Sie eine Client-Zertifikatssperrliste mit früheren EasyRSA-Versionen**

1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zum OpenVPN-Verzeichnis.

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. Führen Sie die Datei `vars.bat` aus.

   ```
   C:\> vars
   ```

1. Widerrufen Sie das Client-Zertifikat und erstellen Sie die Client-Widerrufsliste.

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# Eine Sperrliste für AWS Client VPN Client-Zertifikate importieren
<a name="cvpn-working-certificates-import"></a>

Sie benötigen eine Datei mit einer Sperrliste für Client-VPN-Clientzertifikate, die importiert werden können. Weitere Informationen zum Generieren einer Client-Zertifikatsperrliste finden Sie unter [Generieren Sie eine Sperrliste für AWS Client VPN Client-Zertifikate](cvpn-working-certificates-generate.md).

Sie können eine Client-Zertifikatssperrliste über die Konsole und die AWS CLI importieren.

**So importieren Sie eine Client-Zertifikatssperrliste (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, für den die Client-Zertifikatsperrliste importiert werden soll.

1. Wählen Sie **Actions (Aktionen)** und dann **Import Client Certificate CRL (Client-Zertifikatsperrlisten importieren)**.

1. Geben Sie für **Certificate Revocation List (Zertifikatssperrliste)** den Inhalt der Client-Zertifikatssperrlistendatei ein und wählen Sie **Import client certificate CRL (Client-Zertifikatssperrliste importieren)** aus.

**So importieren Sie eine Client-Zertifikatssperrliste (AWS CLI)**  
Verwenden Sie den certificate-revocation-list Befehl [import-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html).

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# Exportieren einer Sperrliste für AWS Client VPN Client-Zertifikate
<a name="cvpn-working-certificates-export"></a>

Sie können Sperrlisten für Client-VPN-Clientzertifikate mithilfe der Konsole und der exportieren AWS CLI.

**So exportieren Sie eine Client-Zertifikatssperrliste (Konsole)**

1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. Wählen Sie im Navigationsbereich **Client VPN Endpoints (Client VPN-Endpunkte)** aus.

1. Wählen Sie den Client VPN-Endpunkt aus, für den die Client-Zertifikatsperrliste exportiert werden soll.

1. Wählen Sie **Actions (Aktionen)**, **Export Client Certificate CRL (Client-Zertifikatsperrliste exportieren)** und **Export Client Certificate CRL (Client-Zertifikatsperrliste exportieren)** aus.

**So exportieren Sie eine Client-Zertifikatssperrliste (AWS CLI)**  
Verwenden Sie den certificate-revocation-list Befehl [export-client-vpn-client-](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html).