Client VPN エンドポイントの証明書を置き換え、TLS ハンドシェイクエラーを解決する方法を教えてください。

所要時間1分
0

AWS Client VPN から、TLS ハンドシェイクエラーが返されます。期限切れのエンドポイント証明書を確認、交換したいです。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

VPN クライアントエンドポイントの証明書が期限切れになると、セキュア TLS セッションがエンドポイントと一致しなくなるため、クライアントは接続を確立できなくなります。その場合、Client VPN は TLS ハンドシェイクエラーを返します。

期限切れのエンドポイント証明書を特定する

AWS Certificate Manager (ACM) コンソールを使用して現在の証明書を確認し、Client VPN エンドポイントが使用する期限切れ証明書の ID をすべて書き留めます。

新しい証明書を再作成する

既存の公開鍵基盤 (PKI) 環境にアクセスできる場合は、既存の証明書を更新します。PKI 環境には、認証機関、サーバー証明書、クライアント証明書が含まれている必要があります。

既存の PKI 環境にアクセスできない場合は、証明書を再作成してください。証明書を再作成すると、新しい認証機関が作成されます。.crt ファイルで終わるファイルタイプには証明書本文が、キーファイルには証明書の秘密鍵が、ca.crt ファイルには証明書チェーンが含まれます。

証明書を再作成する方法については、「AWS Client VPN で相互認証を有効にする」を参照してください。最後のステップとして、AWS CLI コマンド import-certificate を実行し、再作成した証明書を再インポートします。

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

VPN クライアントがリクエストを受け入れてから、Client VPN エンドポイントへの変更が有効になるまでには最大 4 時間かかります。変更をすぐに実装するには、Client VPN エンドポイントからターゲットネットワークの関連付けを解除し、ターゲットネットワークを再度関連付けます。ターゲットネットワークの関連付けを解除すると、Client VPN エンドポイントのルートテーブルに手動で追加したすべてのルートが削除されます。ターゲットネットワークを再度関連付けた後に、手動で追加したルートを再作成する必要があります。

新しい Client VPN エンドポイントの設定ファイルをダウンロードする

次の手順を実行します。

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールまたは AWS CLI を使用して新しい Client VPN エンドポイントの設定ファイルをダウンロードします。
  2. クライアント証明書とクライアント秘密鍵を、ダウンロードした .ovpn 設定ファイルに追加します。

関連情報

AWS Client VPN でのクライアント認証

AWS公式
AWS公式更新しました 1ヶ月前
コメントはありません

関連するコンテンツ