本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Client VPN 客户证书吊销列表
<a name="cvpn-working-certificates"></a>

针对特定客户端证书，使用 Client VPN 客户端证书吊销列表撤销对 Client VPN 端点的访问权限。您可以生成吊销列表或导入现有列表。您也可以将当前列表导出为吊销列表文件。在Windows Linux/macOS 或Windows上使用OpenVPN软件生成列表。可以使用 Amazon VPC 控制台或 AWS CLI 完成导入和导出。

有关生成服务器和客户端证书和密钥的更多信息，请参阅[相互认证 AWS Client VPN](mutual.md)

**注意**  
如果客户端证书吊销列表已过期，则您无法连接到 Client VPN 端点。您需要创建一个新的客户端证书吊销列表，并将其导入 Client VPN 端点。

只能向客户端证书吊销列表中添加有限数量的条目。有关可以添加到吊销列表中的条目数的更多信息，请参阅 [客户端 VPN 配额](limits.md#quotas-endpoints)。

**Topics**
+ [生成客户端证书吊销列表](cvpn-working-certificates-generate.md)
+ [导入客户端证书吊销列表](cvpn-working-certificates-import.md)
+ [导出客户端证书吊销列表](cvpn-working-certificates-export.md)

# 生成 AWS Client VPN 客户证书吊销列表
<a name="cvpn-working-certificates-generate"></a>

您可以在 Linux/macOS 或 Windows 操作系统上生成 Client VPN 证书吊销列表。针对特定证书，使用吊销列表撤销对 Client VPN 端点的访问权限。有关客户端证书吊销列表的更多信息，请参阅[客户端证书吊销列表](cvpn-working-certificates.md)。

------
#### [ Linux/macOS ]

在以下过程中，您使用 OpenVPN easy-rsa 命令行实用程序生成客户端证书吊销列表。

**使用 OpenVPN easy-rsa 生成客户端证书吊销列表**

1. 登录到托管 easyrsa 安装（用于生成证书）的服务器。

1. 导航到本地存储库中的 `easy-rsa/easyrsa3` 文件夹。

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. 撤销客户端证书并生成客户端吊销列表。

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   出现提示时输入 `yes`。

------
#### [ Windows ]

以下过程使用 OpenVPN 软件生成客户端吊销列表。它假定您遵循了[使用 OpenVPN 软件](mutual.md)生成客户端和服务器证书和密钥的步骤。

**使用 EasyRSA 版本 3.x.x 生成客户端证书吊销列表**

1. 打开命令提示符并导航至 EasyRSA-3.x.x 目录，该目录的具体位置取决于它在系统上的安装位置。

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. 运行 `EasyRSA-Start.bat` 文件以启动 EasyRSA Shell。

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. 在 EasyRSA shell 中，吊销该客户端证书。

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. 出现提示时输入 `yes`。

1. 生成客户端吊销列表。

   ```
   # ./easyrsa gen-crl
   ```

1. 系统将在以下位置创建客户端吊销列表：

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**使用 EasyRSA 的早期版本生成客户端证书吊销列表**

1. 打开命令提示符，然后导航到 OpenVPN 目录。

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. 运行 `vars.bat` 文件。

   ```
   C:\> vars
   ```

1. 撤销客户端证书并生成客户端吊销列表。

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# 导入 AWS Client VPN 客户证书吊销列表
<a name="cvpn-working-certificates-import"></a>

您必须拥有要导入的 Client VPN 客户端证书吊销列表文件。有关生成客户端证书吊销列表的更多信息，请参阅[生成 AWS Client VPN 客户证书吊销列表](cvpn-working-certificates-generate.md)。

可以使用控制台和 AWS CLI导入客户端证书吊销列表。

**导入客户端证书吊销列表（控制台）**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Client VPN Endpoints**（Client VPN 终端节点）。

1. 选择要为其导入客户端证书吊销列表的 Client VPN 端点。

1. 选择 **Actions (操作)**，然后选择 **Import Client Certificate CRL (导入客户端证书 CRL)**。

1. 对于 **Certificate Revocation List (证书吊销列表)**，输入客户端证书吊销列表文件的内容，然后选择 **Import client certificate CRL**（导入客户端证书 CRL）。

**导入客户端证书吊销列表 (AWS CLI)**  
使用 [import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) 命令。

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# 导出 AWS Client VPN 客户证书吊销列表
<a name="cvpn-working-certificates-export"></a>

可以使用控制台和 AWS CLI导出 Client VPN 客户端证书吊销列表。

**导出客户端证书吊销列表（控制台）**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Client VPN Endpoints**（Client VPN 终端节点）。

1. 选择要导出其客户端证书吊销列表的 Client VPN 端点。

1. 选择 **Actions**（操作），选择 **Export Client Certificate CRL**（导出客户端证书 CRL），然后选择 **Export Client Certificate CRL**（导出客户端证书 CRL）。

**导出客户端证书吊销列表 (AWS CLI)**  
使用 [export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) 命令。