CRL(Certificate Revocation List)이란?
CRL은 인증 기관(CA: Certificate Authority)에서 폐기한 인증서 목록입니다. 다음과 같은 경우 인증서가 CRL에 추가될 수 있습니다:
-
실수로 인증서를 외부에 공유한 경우
-
직원 퇴사 등으로 인증서가 더 이상 유효하지 않은 경우
CRL은 일정 기간 동안만 유효합니다. 인증 단계에서 Client VPN 엔드포인트는 가져온 CRL과 클라이언트 인증서를 검사합니다. CRL이 만료되면 Client VPN 엔드포인트에 연결할 수 없습니다.
⚠️ CRL이 만료되면 어떤 문제가 생길까요?
CRL이 만료된 경우, Client VPN은 해당 리스트를 더 이상 사용할 수 없기 때문에 인증 자체가 실패하게 됩니다. 이때 다음과 같은 오류 메시지가 발생할 수 있습니다:
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed
혹은Connection reset, restarting
즉, 인증이 정상적으로 이뤄지지 않아 VPN 연결이 실패하게 됩니다.
CRL이 만료 예정이거나 이미 만료되었더라도, AWS 콘솔에서는 직접적인 알림이나 경고가 나타나지 않습니다.
따라서 관리자가 이를 인지하지 못한 채 문제를 겪게 될 수 있습니다.
다행히 AWS에서는 CloudWatch에서 CRL의 만료일을 확인할 수 있는 지표를 제공합니다.
이 지표는 Client VPN 엔드포인트의 CRL이 만료되기까지 남은 일수를 알려줍니다.
CloudWatch 경보 설정 방법
- CloudWatch 콘솔 접속 > 지표 > 모든 지표
- 지표 > CrlDaysToExpiry 검색
- 경보를 생성할 메트릭을 선택 > 경보 생성
이제 이 지표를 기반으로 CRL 만료 전에 관리자에게 알림을 보내도록 경보(Alarm)를 설정할 수 있습니다. 설정 절차는 다음과 같습니다
해당 메트릭에 경보를 생성하여 해당 값이 0이 되기전에 관리자에게 알릴수 있도록 설정합니다.
아래의 조건에 임계값보다 작은경우 알람이 오도록 설정을 합니다.
알림 트리거와 누구에게 알림을 보낼지를 선택합니다
세부정보 값을 설정합니다
해당 세부정보는 알람이 오는경우 경보의 내용을 정할수 있습니다.
사전에 CRL 만료를 감지하여 안전한 VPN 운영
CRL은 VPN 보안의 핵심 요소 중 하나이지만, 만료 알림이 자동으로 제공되지 않기 때문에 CloudWatch를 통한 사전 알림 설정을 통하여 안정적인 서비스 운영에 도움이 될것으로 보입니다.
또한 CloudWatch 경보를 통해 사전에 CRL 만료를 인지하고, 문제 발생 전에 갱신 조치를 할 수 있다면, 안정적인 VPN 서비스를 유지할 수 있습니다.
감사합니다.