Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Come posso sostituire i certificati dell'endpoint VPN Client per risolvere un errore di handshake TLS?
VPN Client di AWS mostra un errore di handshake TLS. Desidero controllare i certificati dell'endpoint scaduti e sostituirli.
Risoluzione
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Quando i certificati dell'endpoint VPN Client scadono, la sessione TLS sicura e l'endpoint non concordano, per cui il client non può stabilire una connessione. VPN Client mostra quindi un errore di handshake TLS.
Identifica i certificati dell'endpoint scaduti
Apri la console Gestione certificati AWS (ACM). Rivedi i certificati correnti e annota gli ID di tutti quelli scaduti utilizzati dall'endpoint VPN Client.
Ricrea i nuovi certificati
Se hai accesso all'ambiente di infrastruttura a chiave pubblica (PKI) corrente, rinnova il certificato del server esistente per VPN Client di AWS. L'ambiente PKI deve includere l'autorità di certificazione, i certificati del server e i certificati del client.
Se non hai accesso all'ambiente PKI preesistente, ricrea i certificati per creare una nuova autorità di certificazione. I tipi di file che terminano con .crt contengono il corpo del certificato, i file della chiave contengono la chiave privata del certificato e i file ca.crt contengono la catena di certificati.
Per ricreare i certificati, consulta Abilita l'autenticazione reciproca per VPN Client di AWS. Per concludere, esegui il comando AWS CLI import-certificate e reimporta i certificati che hai ricreato:
aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt \ --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
Quando aggiorni i certificati utilizzati da VPN Client, il servizio aggiorna automaticamente l'endpoint VPN Client con il nuovo certificato. Il processo può richiedere fino a 24 ore.
Per applicare immediatamente l'aggiornamento, dissocia le reti di destinazione dall'endpoint VPN Client e riassociale. Quando dissoci le reti di destinazione, rimuovi tutte le route aggiunte manualmente dalla tabella di routing dell'endpoint.
Dopo aver riassociato le reti di destinazione, assicurati di ricreare la route dell'endpoint VPN Client.
Scarica il file di configurazione dell'endpoint VPN Client
Per scaricare il nuovo file di configurazione dell'endpoint VPN Client, completa i seguenti passaggi.
- Utilizza Amazon Virtual Private Cloud (Amazon VPC) o AWS CLI per esportare il file di configurazione del client di VPN Client di AWS.
- Aggiungi il certificato del client di VPN Client di AWS e le informazioni della chiave al file di configurazione .ovpn scaricato.
Informazioni correlate
- Argomenti
- Networking & Content Delivery
- Lingua
- Italiano
