AWS Client VPN から、TLS ハンドシェイクエラーが返されます。期限切れのエンドポイント証明書を確認、交換したいです。
解決策
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
VPN クライアントエンドポイントの証明書が期限切れになると、セキュア TLS セッションがエンドポイントと一致しなくなるため、クライアントは接続を確立できなくなります。その場合、Client VPN は TLS ハンドシェイクエラーを返します。
期限切れのエンドポイント証明書を特定する
AWS Certificate Manager (ACM) コンソールを使用して現在の証明書を確認し、Client VPN エンドポイントが使用する期限切れ証明書の ID をすべて書き留めます。
新しい証明書を再作成する
既存の公開鍵基盤 (PKI) 環境にアクセスできる場合は、既存の証明書を更新します。PKI 環境には、認証機関、サーバー証明書、クライアント証明書が含まれている必要があります。
既存の PKI 環境にアクセスできない場合は、証明書を再作成してください。証明書を再作成すると、新しい認証機関が作成されます。.crt ファイルで終わるファイルタイプには証明書本文が、キーファイルには証明書の秘密鍵が、ca.crt ファイルには証明書チェーンが含まれます。
証明書を再作成する方法については、「AWS Client VPN で相互認証を有効にする」を参照してください。最後のステップとして、AWS CLI コマンド import-certificate を実行し、再作成した証明書を再インポートします。
aws acm import-certificate \
--certificate fileb://server.crt \
--private-key fileb://server.key \
--certificate-chain fileb://ca.crt \
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
VPN クライアントがリクエストを受け入れてから、Client VPN エンドポイントへの変更が有効になるまでには最大 4 時間かかります。変更をすぐに実装するには、Client VPN エンドポイントからターゲットネットワークの関連付けを解除し、ターゲットネットワークを再度関連付けます。ターゲットネットワークの関連付けを解除すると、Client VPN エンドポイントのルートテーブルに手動で追加したすべてのルートが削除されます。ターゲットネットワークを再度関連付けた後に、手動で追加したルートを再作成する必要があります。
新しい Client VPN エンドポイントの設定ファイルをダウンロードする
次の手順を実行します。
- Amazon Virtual Private Cloud (Amazon VPC) コンソールまたは AWS CLI を使用して新しい Client VPN エンドポイントの設定ファイルをダウンロードします。
- クライアント証明書とクライアント秘密鍵を、ダウンロードした .ovpn 設定ファイルに追加します。
関連情報
AWS Client VPN でのクライアント認証