本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 生成 AWS Client VPN 客户证书吊销列表 您可以在 Linux/macOS 或 Windows 操作系统上生成 Client VPN 证书吊销列表。针对特定证书,使用吊销列表撤销对 Client VPN 端点的访问权限。有关客户端证书吊销列表的更多信息,请参阅[客户端证书吊销列表](cvpn-working-certificates.md)。 ------ #### [ Linux/macOS ] 在以下过程中,您使用 OpenVPN easy-rsa 命令行实用程序生成客户端证书吊销列表。 **使用 OpenVPN easy-rsa 生成客户端证书吊销列表** 1. 登录到托管 easyrsa 安装(用于生成证书)的服务器。 1. 导航到本地存储库中的 `easy-rsa/easyrsa3` 文件夹。 ``` $ cd easy-rsa/easyrsa3 ``` 1. 撤销客户端证书并生成客户端吊销列表。 ``` $ ./easyrsa revoke {{client1.domain.tld}} $ ./easyrsa gen-crl ``` 出现提示时输入 `yes`。 ------ #### [ Windows ] 以下过程使用 OpenVPN 软件生成客户端吊销列表。它假定您遵循了[使用 OpenVPN 软件](mutual.md)生成客户端和服务器证书和密钥的步骤。 **使用 EasyRSA 版本 3.x.x 生成客户端证书吊销列表** 1. 打开命令提示符并导航至 EasyRSA-3.x.x 目录,该目录的具体位置取决于它在系统上的安装位置。 ``` C:\> cd c:\{{Users}}\{{windows}}\EasyRSA-3.{{x.x}} ``` 1. 运行 `EasyRSA-Start.bat` 文件以启动 EasyRSA Shell。 ``` C:\> .\EasyRSA-Start.bat ``` 1. 在 EasyRSA shell 中,吊销该客户端证书。 ``` # ./easyrsa revoke {{client_certificate_name}} ``` 1. 出现提示时输入 `yes`。 1. 生成客户端吊销列表。 ``` # ./easyrsa gen-crl ``` 1. 系统将在以下位置创建客户端吊销列表: ``` c:\{{Users}}\{{windows}}\EasyRSA-3.{{x.x}}\pki\crl.pem ``` **使用 EasyRSA 的早期版本生成客户端证书吊销列表** 1. 打开命令提示符,然后导航到 OpenVPN 目录。 ``` C:\> cd \Program Files\OpenVPN\easy-rsa ``` 1. 运行 `vars.bat` 文件。 ``` C:\> vars ``` 1. 撤销客户端证书并生成客户端吊销列表。 ``` C:\> revoke-full {{client_certificate_name}} C:\> more crl.pem ``` ------