Wie kann ich die Zertifikate für mein AWS-Client-VPN ersetzen, um einen TLS-Handshake-Fehler zu beheben?

Lesedauer: 3 Minute
0

Mein AWS-Client-VPN zeigt einen TLS-Handshake-Fehler an. Ich möchte überprüfen, ob meine Endpunktzertifikate abgelaufen sind, und sie dann ersetzen.

Kurzbeschreibung

Client-VPN verwendet Zertifikate, um Clients zu authentifizieren, wenn sie versuchen, eine Verbindung zum Client-VPN-Endpunkt herzustellen. Wenn die Zertifikate ablaufen, kann die sichere TLS-Sitzung nicht mit dem Endpunkt vereinbart werden und der Client kann keine Verbindung herstellen. Ihr Client-VPN zeigt dann einen TLS-Handshake-Fehler an. Um diesen Fehler zu beheben, ersetzen Sie die abgelaufenen Zertifikate, ohne den Endpunkt neu zu erstellen.

Lösung

Überprüfen, ob Ihre Endpunktzertifikate abgelaufen sind

Überprüfen Sie zunächst, ob Ihre Zertifikate abgelaufen sind. Öffnen Sie die AWS Certificate Manager(ACM)-Konsole, um Ihre aktuellen Zertifikate einzusehen. Notieren Sie sich alle Zertifikat-IDs, die der Client-VPN-Endpunkt verwendet und die abgelaufen sind.

Abgelaufene Zertifikate erneuern

Gehen Sie wie folgt vor, um ein Zertifikat zu erneuern:

  1. Klonen Sie das OpenVPN easy-rsa repo auf Ihren lokalen Computer und navigieren Sie dann zum Ordnereasy-rsa/easyrsa3.

    $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3
  2. Starten Sie eine neue PKI-Umgebung.

    ./easyrsa init-pki
  3. Erstellen Sie eine neue Zertifizierungsstelle und folgen Sie dann allen Anweisungen:

    ./easyrsa build-ca nopass
  4. Generieren Sie das Server-Zertifikat und den Schlüssel:

    ./easyrsa build-server-full server nopass
  5. Generieren Sie das Client-Zertifikat und den Schlüssel. Notieren Sie sich das Client-Zertifikat und den privaten Client-Schlüssel.

    ./easyrsa build-client-full client1.domain.tld nopass
  6. Kopieren Sie das Server-Zertifikat und den Schlüssel sowie das Client-Zertifikat und den Schlüssel in einen benutzerdefinierten Ordner.

    mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/
  7. Nachdem Sie die neuen Zertifikate erstellt haben, importieren Sie sie in den AWS Certificate Manager. Stellen Sie sicher, dass die Region, die Sie beim Ausführen dieses Schritts für den Zugriff auf die Konsole verwenden, für Ihren Client-VPN-Endpunkt korrekt ist.

Hinweis: Beachten Sie, dass Sie durch das Ausführen dieser Schritte eine neue Zertifizierungsstelle (CA) erstellen. Dateitypen mit der Dateiendung .crt enthalten den Zertifikatstext, .key-Dateien den privaten Schlüssel des Zertifikats und ca.crt-Dateien die Zertifikatskette.

Die von Client VPN verwendeten Zertifikate ändern

Nachdem Sie die neuen Zertifikate in den AWS Certificate Manager importiert haben, können Sie nun die Zertifikate ändern, die der Client-VPN-Endpunkt verwendet:

  1. Wählen Sie in der Amazon Virtual Private Cloud (Amazon VPC)-Konsole den Client-VPN-Endpunkt aus.
  2. Wählen Sie Aktionen und anschließend Client-VPN-Endpunkt ändern aus.
  3. Wählen Sie unter Authentifizierungsinformationen das Serverzertifikat aus, das Sie erstellt haben.
  4. Wählen Sie Client-VPN-Endpunkt ändern aus, um die Änderungen zu speichern.
  5. Laden Sie die Client-VPN-Konfigurationsdateien herunter, um die vorgenommenen Änderungen wiederzugeben.
  6. Nachdem Sie erfolgreich eine Verbindung zu Ihrem Endpunkt hergestellt haben, löschen Sie die abgelaufenen Zertifikate.
  7. Sie können zudem die DaysToExpiry-Zertifikatsmetrik in Amazon CloudWatch verwenden, um den Ablauf Ihres Zertifikats zu verfolgen und TLS-Handshake-Fehler zu vermeiden.

Zugehörige Informationen

Gegenseitige Authentifizierung

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr