翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Client VPN クライアント証明書失効リスト
<a name="cvpn-working-certificates"></a>

クライアント証明書失効リストを使用して、特定のクライアント証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。失効リストを生成するか、既存のリストをインポートできます。現在のリストを失効リストファイルとしてエクスポートすることもできます。リストの生成は、Linux/macOS または Windows で OpenVPN ソフトウェアを使用して実行されます。インポートとエクスポートは、Amazon VPC コンソールまたは CLI AWS を使用して実行できます。

サーバーとクライアント証明書の生成の詳細については、「[での相互認証 AWS Client VPN](mutual.md)」を参照してください。

**注記**  
クライアント証明書失効リストの有効期限が切れている場合は、クライアント VPN エンドポイントに接続できません。新しいクライアント証明書失効リストを作成し、クライアント VPN エンドポイントにインポートする必要があります。

クライアント証明書失効リストに追加できるエントリの数は限られています。失効リストに追加できるエントリ数の詳細については、「[クライアント VPN クォータ](limits.md#quotas-endpoints)」を参照してください。

**Topics**
+ [クライアント証明書失効リストの生成](cvpn-working-certificates-generate.md)
+ [クライアント証明書失効リストのインポート](cvpn-working-certificates-import.md)
+ [クライアント証明書失効リストのエクスポート](cvpn-working-certificates-export.md)

# AWS Client VPN クライアント証明書失効リストを生成する
<a name="cvpn-working-certificates-generate"></a>

Linux/macOS または Windows オペレーティングシステムでクライアント VPN 証明書失効リストを生成できます。失効リストを使用して、特定の証明書のクライアント VPN エンドポイントへのアクセスを取り消すことができます。クライアント証明書失効リストの生成の詳細については、「[クライアント証明書失効リスト](cvpn-working-certificates.md)」を参照してください。

------
#### [ Linux/macOS ]

次の手順では、クライアント証明書失効リストの生成に OpenVPN の Easy-RSA というコマンドラインユーティリティを使用してください。

**OpenVPN Easy-RSA を使ってクライアント証明書失効リストを生成するには**

1. 証明書の生成に使用した easyrsa インストールをホストしているサーバーにログインします。

1. ローカルリポジトリの `easy-rsa/easyrsa3` フォルダに移動します。

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. クライアント証明書を取り消し、クライアント失効リストを生成します。

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   プロンプトが表示されたら、`yes` を入力します。

------
#### [ Windows ]

次の手順では、OpenVPN ソフトウェアを使用してクライアント失効リストを生成します。ここでは、[OpenVPN ソフトウェアを使用してクライアントとサーバーの証明書およびキーを生成するステップ](mutual.md)に従っていることを前提としています。

**EasyRSA version 3.x.x を使ってクライアント証明書失効リストを生成するには**

1. コマンドプロンプトを開き、EasyRSA-3.x.x ディレクトリに移動します。これは、お使いのシステムにインストールされている場所に依存します。

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. `EasyRSA-Start.bat` ファイルを実行して EasyRSA シェルを起動します。

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. EasyRSA シェルで、クライアント証明書を取り消します。

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. プロンプトが表示されたら、`yes` を入力します。

1. クライアント証明書失効リストを生成します。

   ```
   # ./easyrsa gen-crl
   ```

1. クライアント失効リストは、次の場所に作成されます。

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**以前の EasyRSA バージョンを使用してクライアント証明書失効リストを生成するには**

1. コマンドプロンプトを開き、OpenVPN ディレクトリに移動します。

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. `vars.bat` ファイルを実行します。

   ```
   C:\> vars
   ```

1. クライアント証明書を取り消し、クライアント失効リストを生成します。

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# AWS Client VPN クライアント証明書失効リストをインポートする
<a name="cvpn-working-certificates-import"></a>

インポートするクライアント証明書失効リストを持っている必要があります。クライアント証明書失効リストの生成の詳細については、「[AWS Client VPN クライアント証明書失効リストを生成する](cvpn-working-certificates-generate.md)」を参照してください。

クライアント証明書失効リストのインポートには、コンソールと AWS CLIが使用できます。

**クライアント証明書失効リストをインポートするには (コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[Client VPN Endpoints]** (クライアント VPN エンドポイント) を選択します。

1. クライアント証明書失効リストをインポートするクライアント VPN エンドポイントを選択します。

1. [**Actions**] を選択し、[**Import Client Certificate CRL (クライアント証明書 CRL のインポート)**] を選択します。

1. **[Certificate Revocation List]** (証明書失効リスト) で、クライアント証明書失効リストファイルの内容を入力し、**[Import client certificate CRL]** (クライアント証明書 CRL のインポート) を選択します。

**クライアント証明書失効リストをインポートするには (AWS CLI)**  
[import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) コマンドを使用します。

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# AWS Client VPN クライアント証明書失効リストをエクスポートする
<a name="cvpn-working-certificates-export"></a>

コンソールと AWS CLIを使用して、クライアント証明書失効リストのエクスポートできます。

**クライアント証明書失効リストをエクスポートするには (コンソール)**

1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。

1. ナビゲーションペインで、**[クライアント VPN エンドポイント]** を選択します。

1. クライアント証明書失効リストをエクスポートするクライアント VPN エンドポイントを選択します。

1. **[Actions]** (アクション) を選択し、**[Export Client Certificate CRL]** (クライアント証明書 CRL のエクスポート) を選択し、**[Export Client Certificate CRL]** (クライアント証明書 CRL をエクスポートする) を選択します。

**クライアント証明書失効をエクスポートするには (AWS CLI)**  
[export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) コマンドを使用します。