Breve descripción

Client VPN utiliza certificados para autenticar a los clientes cuando intentan conectarse al punto de conexión de la VPN del cliente. Si los certificados caducan, la sesión TLS segura no se puede asociar con el punto de conexión, y el cliente no puede establecer una conexión. A continuación, Client VPN muestra un error de protocolo de enlace de TLS. Para resolver este error, sustituya los certificados caducados sin volver a crear el punto de conexión.

Solución

Confirmar que los certificados del punto de conexión han caducado

Primero, confirme que los certificados hayan caducado. Abra la consola de AWS Certificate Manager (ACM) para ver los certificados actuales. Anote los identificadores de certificados que utilice el punto de conexión de Client VPN que hayan caducado.

Renovar los certificados caducados

Para renovar un certificado, siga estos pasos:

1. Clone el repositorio easy-rsa de OpenVPN en el ordenador local y, a continuación, navegue hasta la carpeta easy-rsa/easyrsa3.

   $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3

2. Inicie un nuevo entorno de PKI.

   ./easyrsa init-pki

3. Cree una nueva autoridad de certificación y, a continuación, siga todas las instrucciones:

   ./easyrsa build-ca nopass

4. Genere el certificado y la clave del servidor:

   ./easyrsa build-server-full server nopass

5. Genere el certificado y la clave del cliente. Anote el certificado del cliente y la clave privada del cliente.

   ./easyrsa build-client-full client1.domain.tld nopass

6. Copie el certificado y la clave del servidor y el certificado y la clave del cliente en una carpeta personalizada.

   mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/

7. Después de crear los nuevos certificados, impórtelos a AWS Certificate Manager. Cuando realice este paso, asegúrese de que la región que utiliza para acceder a la consola sea la correcta para su punto de conexión de Client VPN.

Nota: Tenga en cuenta que, al completar estos pasos, se creará una nueva autoridad de certificación (CA). Los tipos de archivo que terminan en .crt contienen el cuerpo del certificado, los archivos .key contienen la clave privada del certificado y los archivos ca.crt contienen la cadena de certificados.

Cambiar los certificados que utiliza Client VPN

Tras importar los nuevos certificados a AWS Certificate Manager, puede cambiar los certificados que utiliza el punto de conexión de Client VPN:

1. En la consola de Amazon Virtual Private Cloud (Amazon VPC), elija Punto de enlace de Client VPN.
2. Elija Acciones y, a continuación, elija Modificar punto de enlace de Client VPN.
3. En Información de autenticación, elija el certificado de servidor que creó.
4. Seleccione Modificar punto de enlace de Client VPN para guardar los cambios.
5. Descargue los archivos de configuración de Client VPN para reflejar los cambios introducidos.
6. Una vez que se haya conectado correctamente al punto de conexión, elimine los certificados caducados.
7. También puede utilizar la métrica DayStoExpiry para el certificado en Amazon CloudWatch para hacer un seguimiento de la caducidad de los certificados y evitar errores de protocolo de enlace de TLS.

Información relacionada

Autenticación mutua