AWS Client VPN affiche une erreur de handshake TLS. Je souhaite vérifier les certificats de point de terminaison qui ont expiré et les remplacer.
Résolution
Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.
Lorsque les certificats de point de terminaison du client VPN expirent, la session TLS sécurisée ne concorde pas avec le point de terminaison et le client ne peut pas établir de connexion. Le VPN client affiche alors une erreur de handshake TLS.
Identifier les certificats de point de terminaison qui ont expiré
Utilisez la console AWS Certificate Manager (ACM) pour consulter vos certificats actuels et notez les ID de tous les certificats expirés utilisés par le point de terminaison du VPN client.
Recréer les nouveaux certificats
Si vous avez accès à votre environnement d'infrastructure à clé publique (PKI) préexistant, renouvelez votre certificat existant. Votre environnement PKI doit inclure votre autorité de certification, vos certificats de serveur et vos certificats clients.
Si vous n'avez pas accès à votre environnement PKI préexistant, recréez les certificats. Lorsque vous recréez des certificats, vous créez une nouvelle autorité de certification. Les types de fichiers qui se terminent par .crt contiennent le corps du certificat, les fichiers de clés contiennent la clé privée du certificat et les fichiers ca.crt la chaîne de certificats.
Pour recréer les certificats, consultez la section Activer l'authentification mutuelle pour l’AWS Client VPN. Pour la dernière étape, exécutez la commande import-certificate de l’interface de ligne de commande AWS pour réimporter les certificats que vous recréez :
aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt \
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
Une fois que le client VPN a accepté la requête, les modifications apportées aux points de terminaison du VPN client peuvent prendre jusqu'à 4 heures pour prendre effet. Pour implémenter immédiatement les modifications, vous pouvez dissocier les réseaux cibles du point de terminaison du VPN client et réassocier les réseaux cibles. Lorsque vous dissociez un réseau cible, chaque route que vous avez ajoutée manuellement à la table de routage du point de terminaison du VPN client est supprimée. Veillez à recréer les routes ajoutées manuellement après avoir réassocié les réseaux cibles.
Télécharger le nouveau fichier de configuration du point de terminaison du VPN client
Procédez comme suit :
- Utilisez la console Amazon Virtual Private Cloud (Amazon VPC) ou l'AWS CLI pour télécharger un nouveau fichier de configuration du point de terminaison du VPN client.
- Ajoutez le certificat client et la clé privée du client au fichier de configuration .ovpn que vous téléchargez.
Informations connexes
Authentification du client dans AWS Client VPN