Il mio VPN Client di AWS mostra un errore di handshake TLS. Voglio verificare se i certificati dei miei endpoint sono scaduti e in caso sostituirli.
Descrizione breve
VPN Client utilizza i certificati per autenticare i client quando tentano di connettersi all'endpoint VPN Client. Se i certificati scadono, la sessione TLS sicura non può essere concordata con l'endpoint e il client non può stabilire una connessione. VPN Client mostra quindi un errore di handshake TLS. Per risolvere questo errore, sostituisci i certificati scaduti senza ricreare l'endpoint.
Risoluzione
Conferma che i certificati degli endpoint sono scaduti
Innanzitutto, conferma che i tuoi certificati sono scaduti. Apri la console Gestione certificati AWS (ACM) per visualizzare i tuoi certificati attuali. Annota tutti gli ID di certificato utilizzati dall'endpoint VPN Client che sono scaduti.
Rinnova i certificati scaduti
Per rinnovare un certificato, segui questi passaggi:
-
Clona il repository OpenVPN easy-rsa sul tuo computer locale, quindi vai alla cartella easy-rsa/easyrsa3.
$ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3
-
Avvia un nuovo ambiente PKI.
./easyrsa init-pki
-
Crea una nuova autorità di certificazione, quindi segui tutti i prompt:
./easyrsa build-ca nopass
-
Genera il certificato e la chiave del server:
./easyrsa build-server-full server nopass
-
Genera il certificato e la chiave del client. Annota il certificato e la chiave privata del client.
./easyrsa build-client-full client1.domain.tld nopass
-
Copia il certificato e la chiave del server e il certificato e la chiave del client in una cartella personalizzata.
mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/
-
Dopo aver creato i nuovi certificati, importali in Gestione certificati AWS. Assicurati che la regione che utilizzi per accedere alla console quando completi questo passaggio sia corretta per il tuo endpoint VPN Client.
Nota: tieni presente che completando questi passaggi, crei una nuova autorità di certificazione. I tipi di file che terminano con .crt contengono il corpo del certificato, i file .key contengono la chiave privata dei certificati e i file ca.crt contengono la catena di certificati.
Modifica i certificati utilizzati da VPN Client
Dopo aver importato i nuovi certificati in Gestione certificati AWS, puoi modificare i certificati utilizzati dall'endpoint VPN Client:
- Dalla console Amazon Virtual Private Cloud (Amazon VPC), scegli Endpoint del client VPN.
- Scegli Azioni, quindi scegli Modifica l'endpoint del client VPN.
- In Informazioni di autenticazione, scegli il certificato del server che hai creato.
- Scegli Modifica l'endpoint del client VPN per salvare le modifiche.
- Scarica i file di configurazione di VPN Client per riflettere le modifiche apportate.
- Dopo aver effettuato correttamente la connessione all'endpoint, elimina i certificati scaduti.
- Puoi anche utilizzare il parametro DaysToExpiry in Amazon CloudWatch per monitorare la scadenza del certificato ed evitare errori di handshake TLS.
Informazioni correlate
Autenticazione reciproca