¿Cómo puedo sustituir los certificados de punto de enlace de Client VPN para resolver un error de protocolo de enlace TLS?

3 minutos de lectura
0

AWS Client VPN muestra un error de protocolo de enlace TLS. Quiero comprobar los certificados de punto de enlace que están vencidos y sustituirlos.

Solución

Nota: Si se muestran errores al ejecutar comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), consulte Solución de problemas de AWS CLI. Además, asegúrese de utilizar la versión más reciente de la AWS CLI.

Cuando los certificados de punto de enlace de Client VPN vencen, la sesión TLS segura no se puede asociar con el punto de enlace y el cliente no puede establecer una conexión. A continuación, Client VPN muestra un error de protocolo de enlace de TLS.

Identificación de los certificados de punto de enlace que han vencido

Utilice la consola de AWS Certificate Manager (ACM) para ver sus certificados actuales y anote los ID de todos los certificados vencidos que utiliza el punto de enlace de Client VPN.

Volver a crear los nuevos certificados

Si tiene acceso a su entorno de infraestructura de clave pública (PKI) preexistente, renueve el certificado existente. El entorno de PKI debe incluir la autoridad de certificación, los certificados de servidor y los certificados de cliente.

Si no tiene acceso al entorno de PKI preexistente, vuelva a crear los certificados. Al volver a crear los certificados, se crea una nueva autoridad de certificación. Los tipos de archivo que terminan en .crt contienen el cuerpo del certificado, los archivos .key contienen la clave privada del certificado y los archivos ca.crt contienen la cadena de certificados.

Para volver a crear los certificados, consulte Habilitación de la autenticación mutua para AWS Client VPN. Para el último paso, ejecute el comando import-certificate de la AWS CLI para volver a importar los certificados que vuelva a crear:

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Una vez que Client VPN acepta la solicitud, las modificaciones en los puntos de enlace de Client VPN tardan hasta 4 horas en surtir efecto. Para implementar los cambios de forma inmediata, puede desasociar las redes de destino del punto de enlace de Client VPN y volver a asociar las redes de destino. Al desasociar una red de destino, se eliminan todas las rutas que haya agregado manualmente a la tabla de rutas del punto de enlace de Client VPN. Asegúrese de volver a crear las rutas agregadas manualmente después de volver a asociar las redes de destino.

Descarga del archivo de configuración del punto de enlace de Client VPN

Siga estos pasos:

  1. Utilice la consola de Amazon Virtual Private Cloud (Amazon VPC) o la AWS CLI para descargar un nuevo archivo de configuración de punto de enlace de Client VPN.
  2. Agregue el certificado de cliente y la clave privada del cliente al archivo de configuración .ovpn que descargó.

Información relacionada

Autenticación de clientes en AWS Client VPN

OFICIAL DE AWS
OFICIAL DE AWSActualizada hace un mes