Comment puis-je remplacer les certificats de point de terminaison du VPN client pour résoudre une erreur de handshake TLS ?

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Lorsque les certificats de point de terminaison du client VPN expirent, la session TLS sécurisée ne concorde pas avec le point de terminaison et le client ne peut pas établir de connexion. Le VPN client affiche alors une erreur de handshake TLS.

Identifier les certificats de point de terminaison qui ont expiré

Ouvrez la console AWS Certificate Manager (ACM). Examinez les certificats actuels et notez les ID de tous les certificats expirés qui sont utilisés par le point de terminaison du VPN client.

Recréer les nouveaux certificats

Si vous avez accès à votre environnement d'infrastructure à clé publique (PKI) actuel, renouvelez votre certificat de serveur existant pour l’AWS Client VPN. Votre environnement PKI doit inclure votre autorité de certification, vos certificats de serveur et vos certificats clients.

Si vous n'avez pas accès à votre environnement PKI préexistant, recréez les certificats pour créer une nouvelle autorité de certification. Les types de fichiers qui se terminent par .crt contiennent le corps du certificat, les fichiers de clés contiennent la clé privée du certificat et les fichiers ca.crt la chaîne de certificats.

Pour recréer les certificats, consultez la section Activer l'authentification mutuelle pour l’AWS Client VPN. Pour la dernière étape, exécutez la commande import-certificate de l’interface de ligne de commande AWS pour réimporter les certificats que vous recréez :

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Lorsque vous mettez à jour les certificats utilisés par le VPN client, le service met automatiquement à jour le point de terminaison du VPN client avec le nouveau certificat. Ce processus peut prendre jusqu'à 24 heures.

Pour appliquer la mise à jour immédiatement, dissociez les réseaux cibles du point de terminaison du VPN client, puis associez de nouveau les réseaux cibles. Lorsque vous dissociez le réseau cible, vous supprimez toutes les routes ajoutées manuellement à partir de la table de routage du point de terminaison.

Après avoir réassocié les réseaux cibles, veillez à recréer la route du point de terminaison du VPN client.

Télécharger le nouveau fichier de configuration du point de terminaison du VPN client

Pour télécharger le nouveau fichier de configuration du point de terminaison du VPN client, procédez comme suit.

1. Utilisez Amazon Virtual Private Cloud (Amazon VPC) ou l'AWS CLI pour exporter le fichier de configuration du client AWS Client VPN.
2. Ajoutez le certificat client de l’AWS Client VPN et les informations de clés au fichier de configuration .ovpn que vous téléchargez.

Informations connexes

Authentification du client dans l’AWS Client VPN