TLS 핸드셰이크 오류를 해결하기 위해 클라이언트 VPN 엔드포인트 인증서를 교체하려면 어떻게 해야 합니까?

2분 분량
0

AWS Client VPN에서 TLS 핸드셰이크 오류가 표시됩니다. 만료된 엔드포인트 인증서를 확인하고 교체하려고 합니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

VPN 클라이언트 엔드포인트 인증서가 만료되면 보안 TLS 세션에서 엔드포인트와의 연결을 동의하지 않기 때문에 클라이언트가 연결을 설정할 수 없습니다. 그러면 클라이언트 VPN에서 TLS 핸드셰이크 오류를 표시합니다.

만료된 엔드포인트 인증서 확인

AWS Certificate Manager(ACM) 콘솔을 사용하여 현재 인증서를 확인하고 클라이언트 VPN 엔드포인트에서 사용하는 만료된 모든 인증서의 ID를 기록해 둡니다.

새 인증서 다시 생성

기존 퍼블릭 키 인프라(PKI) 환경에 액세스할 수 있는 경우 기존 인증서를 갱신하십시오. PKI 환경에는 인증 기관, 서버 인증서 및 클라이언트 인증서가 포함되어야 합니다.

기존 PKI 환경에 액세스할 수 없는 경우에는 인증서를 다시 생성하십시오. 인증서를 다시 생성하면 새 인증 기관이 생성됩니다. .crt로 끝나는 파일 형식에는 인증서 본문이 포함되고, .key 파일에는 인증서 프라이빗 키가 포함되며, ca.crt 파일에는 인증서 체인이 포함됩니다.

인증서를 다시 생성하려면 AWS Client VPN의 상호 인증 활성화를 참조하십시오. 마지막 단계에서는 import-certificate AWS CLI 명령을 실행하여 재생성한 인증서를 다시 가져옵니다.

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

VPN 클라이언트가 요청을 수락한 후 클라이언트 VPN 엔드포인트에 대한 수정 사항이 적용되려면 최대 4시간이 걸립니다. 변경 사항을 즉시 구현하려면 클라이언트 VPN 엔드포인트에서 대상 네트워크를 연결 해제한 다음, 해당 대상 네트워크를 다시 연결합니다. 대상 네트워크를 연결 해제하면 클라이언트 VPN 엔드포인트의 라우팅 테이블에 수동으로 추가한 모든 경로가 삭제됩니다. 따라서 대상 네트워크를 다시 연결한 후 수동으로 추가한 경로를 다시 생성해야 합니다.

새 클라이언트 VPN 엔드포인트 구성 파일 다운로드

다음 단계를 완료하십시오.

  1. Amazon Virtual Private Cloud(Amazon VPC) 콘솔 또는 AWS CLI를 사용하여 새 클라이언트 VPN 엔드포인트 구성 파일을 다운로드합니다.
  2. 다운로드한 .ovpn 구성 파일에 클라이언트 인증서와 클라이언트 프라이빗 키를 추가합니다.

관련 정보

AWS Client VPN의 클라이언트 인증

AWS 공식
AWS 공식업데이트됨 24일 전