本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Client VPN 用戶端憑證撤銷清單
<a name="cvpn-working-certificates"></a>

Client VPN 用戶端憑證撤銷清單用於撤銷對特定用戶端憑證之 Client VPN 端點的存取權。您可以產生撤銷清單或匯入現有的清單。您也可以匯出撤銷清單檔案的目前清單。在 Linux/macOS 或 Windows 上使用 OpenVPN 軟體來產生清單。匯入和匯出可以使用 Amazon VPC 主控台或使用 AWS CLI 來完成。

如需有關產生伺服器和用戶端憑證及金鑰的詳細資訊，請參閱[中的相互身分驗證 AWS Client VPN](mutual.md)

**注意**  
如果用戶端憑證撤銷清單已過期，您就無法連線至 Client VPN 端點。您需要建立新的 ，並將其匯入 Client VPN 端點。

您只能將有限數量的項目新增至用戶端憑證撤銷清單。如需可新增至撤銷清單的項目數量詳細資訊，請參閱 [Client VPN 配額](limits.md#quotas-endpoints)。

**Topics**
+ [產生用戶端憑證撤銷清單](cvpn-working-certificates-generate.md)
+ [匯入用戶端憑證撤銷清單](cvpn-working-certificates-import.md)
+ [匯出用戶端憑證撤銷清單](cvpn-working-certificates-export.md)

# 產生 AWS Client VPN 用戶端憑證撤銷清單
<a name="cvpn-working-certificates-generate"></a>

您可以在 Linux/macOS 或 Windows 作業系統上產生 Client VPN 憑證撤銷清單。撤銷清單用於撤銷對特定憑證之 Client VPN 端點的存取權。如需用戶端憑證撤銷清單的詳細資訊，請參閱 [用戶端憑證撤銷清單](cvpn-working-certificates.md)。

------
#### [ Linux/macOS ]

在下列程序中，您可以使用 OpenVPN easy-rsa 命令列公用程式產生用戶端憑證撤銷清單。

**使用 OpenVPN easy-rsa 產生用戶端憑證撤銷清單**

1. 登入託管用於產生憑證之 easyrsa 安裝的伺服器。

1. 導覽到本機儲存庫中的 `easy-rsa/easyrsa3` 資料夾。

   ```
   $ cd easy-rsa/easyrsa3
   ```

1. 撤銷用戶端憑證並產生用戶端撤銷清單。

   ```
   $ ./easyrsa revoke client1.domain.tld
   $ ./easyrsa gen-crl
   ```

   出現提示`yes`時輸入 。

------
#### [ Windows ]

下列程序會使用 OpenVPN 軟體來產生用戶端撤銷清單。它假設您遵循[使用 OpenVPN 軟體的步驟](mutual.md)來產生用戶端和伺服器憑證和金鑰。

**使用 EasyRSA 版本 3.x.x 產生用戶端憑證撤銷清單**

1. 開啟命令提示並巡覽至 EasyRSA-3.x.x 目錄，此目錄為在您的系統上安裝的位置。

   ```
   C:\> cd c:\Users\windows\EasyRSA-3.x.x
   ```

1. 執行 `EasyRSA-Start.bat` 檔案以啟動 EasyRSA shell。

   ```
   C:\> .\EasyRSA-Start.bat
   ```

1. 在 EasyRSA shell 中，撤銷用戶端憑證。

   ```
   # ./easyrsa revoke client_certificate_name
   ```

1. 出現提示`yes`時輸入 。

1. 產生用戶端撤銷清單。

   ```
   # ./easyrsa gen-crl
   ```

1. 系統會在下列位置建立用戶端撤銷清單：

   ```
   c:\Users\windows\EasyRSA-3.x.x\pki\crl.pem
   ```

**使用 EasyRSA 版本產生用戶端憑證撤銷清單**

1. 開啟命令提示，然後導覽至 OpenVPN 目錄。

   ```
   C:\> cd \Program Files\OpenVPN\easy-rsa
   ```

1. 執行 `vars.bat` 檔案。

   ```
   C:\> vars
   ```

1. 撤銷用戶端憑證並產生用戶端撤銷清單。

   ```
   C:\> revoke-full client_certificate_name
   C:\> more crl.pem
   ```

------

# 匯入 AWS Client VPN 用戶端憑證撤銷清單
<a name="cvpn-working-certificates-import"></a>

您必須擁有要匯入的 Client VPN 用戶端憑證撤銷清單檔案。如需有關產生用戶端憑證撤銷清單的詳細資訊，請參閱[產生 AWS Client VPN 用戶端憑證撤銷清單](cvpn-working-certificates-generate.md)。

您可以使用主控台和 AWS CLI來匯入用戶端憑證撤銷清單。

**匯入用戶端憑證撤銷清單 (主控台)**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Client VPN Endpoints** (Client VPN 端點)。

1. 選取要匯入用戶端憑證撤銷清單的 Client VPN 端點。

1. 選擇 **Actions (動作)**，然後選擇 **Import Client Certificate CRL (匯入用戶端憑證 CRL)**。

1. 對於 **Certificate Revocation List** (憑證撤銷清單)，輸入用戶端憑證撤銷清單檔案的內容，然後選擇 **Import client certificate CRL** (匯入用戶端憑證 CRL)。

**匯入用戶端憑證撤銷清單 (AWS CLI)**  
使用 [import-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/import-client-vpn-client-certificate-revocation-list.html) 命令。

```
$ aws ec2 import-client-vpn-client-certificate-revocation-list --certificate-revocation-list file://path_to_CRL_file --client-vpn-endpoint-id endpoint_id --region region
```

# 匯出 AWS Client VPN 用戶端憑證撤銷清單
<a name="cvpn-working-certificates-export"></a>

您可以使用 主控台和 匯出 Client VPN 用戶端憑證撤銷清單 AWS CLI。

**匯出用戶端憑證撤銷清單 (主控台)**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Client VPN Endpoints** (Client VPN 端點)。

1. 選取要匯出用戶端憑證撤銷清單的 Client VPN 端點。

1. 選擇 **Actions** (動作)，選擇 **Export Client Certificate CRL** (匯出用戶端憑證 CRL)，然後選擇 **Export Client Certificate CRL** (匯出用戶端憑證 CRL)。

**匯出用戶端憑證撤銷 (AWS CLI)**  
使用 [export-client-vpn-client-certificate-revocation-list](https://docs.aws.amazon.com/cli/latest/reference/ec2/export-client-vpn-client-certificate-revocation-list.html) 命令。