간략한 설명

클라이언트를 클라이언트 VPN 엔드포인트에 연결할 때 클라이언트 VPN에서는 인증서를 사용해 클라이언트를 인증합니다. 인증서가 만료되면 보안 TLS 세션에서 엔드포인트와 연결 동의를 할 수 없기 때문에 클라이언트가 연결을 설정할 수 없습니다. 그러면 클라이언트 VPN에서 TLS 핸드셰이크 오류를 표시합니다. 이 오류를 해결하려면 엔드포인트를 다시 만들지 말고 만료된 인증서를 교체하세요.

해결 방법

엔드포인트 인증서가 만료되었는지 확인

먼저 인증서가 만료되었는지 확인합니다. AWS Certificate Manager(ACM) 콘솔을 열어 현재 인증서를 확인합니다. 클라이언트 VPN 엔드포인트에서 사용하는 인증서 ID 중 만료된 것이 있는지 확인합니다.

만료된 인증서 갱신

인증서를 갱신하려면 다음 단계를 따르세요.

1. OpenVPN easy-rsa 리포지토리를 로컬 컴퓨터에 복제한 다음 easy-rsa/easyrsa3 폴더로 이동합니다.

   $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3

2. 새 PKI 환경을 시작합니다.

   ./easyrsa init-pki

3. 새 인증 기관을 빌드한 후 프롬프트를 따릅니다.

   ./easyrsa build-ca nopass

4. 서버 인증서와 키를 생성합니다.

   ./easyrsa build-server-full server nopass

5. 클라이언트 인증서와 키를 생성합니다. 클라이언트 인증서와 클라이언트 프라이빗 키를 기록해 둡니다.

   ./easyrsa build-client-full client1.domain.tld nopass

6. 서버 인증서 및 키와 클라이언트 인증서 및 키를 사용자 지정 폴더에 복사합니다.

   mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/

7. 새 인증서를 생성한 후 AWS Certificate Manager(ACM)로 가져옵니다. 이 단계를 완료할 때 콘솔 액세스에 사용하는 리전이 클라이언트 VPN 엔드포인트에 맞는 것인지 확인하세요.

참고: 이 단계를 완료하면 새 인증 기관(CA)이 생성된다는 점에 유의하세요. .crt 파일로 끝나는 파일 형식에는 인증서 본문이 포함되고, .key 파일에는 인증서 프라이빗 키가 포함되며, ca.crt 파일에는 인증서 체인이 포함됩니다.

클라이언트 VPN이 사용하는 인증서 변경

새 인증서를 AWS Certificate Manager로 가져온 후 클라이언트 VPN 엔드포인트에서 사용하는 인증서를 변경할 수 있습니다.

1. Amazon Virtual Private Cloud(VPC) 콘솔에서 클라이언트 VPN 엔드포인트를 선택합니다.
2. 작업을 선택하고 클라이언트 VPN 엔드포인트 수정을 선택합니다.
3. 인증 정보에서 생성한 서버 인증서를 선택합니다.
4. 클라이언트 VPN 엔드포인트 수정을 선택해 변경 사항을 저장합니다.
5. 클라이언트 VPN 구성 파일을 다운로드하고 변경 사항을 반영합니다.
6. 엔드포인트 연결에 성공하면 만료된 인증서를 삭제합니다.
7. Amazon CloudWatch에서 DaysToExpiry 인증서 지표를 사용하해 인증서 만료를 추적하고 TLS 핸드셰이크 오류를 예방할 수도 있습니다.

관련 정보

상호 인증