Como substituo os certificados de endpoint do Client VPN para resolver um erro de handshake de TLS?

3 minuto de leitura
0

O AWS Client VPN mostra um erro de handshake de TLS. Quero verificar os certificados de endpoint que expiraram e substituí-los.

Resolução

Observação: Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Quando os certificados de endpoint do Client VPN expiram, a sessão segura de TLS não é acordada com o endpoint e o cliente não consegue estabelecer uma conexão. Em seguida, o Client VPN exibe um erro de handshake de TLS.

Identificar os certificados de endpoint que expiraram

Use o console do AWS Certificate Manager (ACM) para exibir os certificados atuais e anote os IDs de todos os certificados expirados que o endpoint do Client VPN usa.

Recriar novos certificados

Se você tiver acesso ao ambiente de infraestrutura de chave pública (PKI) preexistente, renove seu certificado atual. O ambiente de PKI deve incluir a autoridade de certificação, certificados de servidor e certificados de cliente.

Se você não tiver acesso ao ambiente de PKI preexistente, recrie os certificados. Ao fazer isso, você cria uma nova autoridade de certificação. Os tipos de arquivo que terminam em .crt contêm o corpo do certificado, os arquivos .key contêm a chave privada do certificado e os arquivos .crt contêm a cadeia de certificado.

Para recriar os certificados, consulte Ativar a autenticação mútua no AWS Client VPN. Para a etapa final, execute o comando import-certificate da AWS CLI para reimportar os certificados que você recria:

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Depois que o cliente VPN aceita a solicitação, as modificações nos endpoints do Client VPN levam até 4 horas para entrar em vigor. Para implementar imediatamente as alterações, é possível desassociar as redes de destino do endpoint VPN do cliente e reassociar as redes de destino novamente. Quando você desassocia uma rede de destino, todas as rotas adicionadas manualmente à tabela de rotas do endpoint do Client VPN são excluídas. Certifique-se de recriar as rotas adicionadas manualmente depois de reassociar as redes de destino.

Baixar o novo arquivo de configuração do endpoint do Client VPN

Conclua as seguintes etapas:

  1. Use o console do Amazon Virtual Private Cloud (Amazon VPC) ou a AWS CLI para baixar um novo arquivo de configuração de endpoint do Client VPN.
  2. Adicione o certificado do cliente e a chave privada do cliente ao arquivo de configuração.ovpn que você baixou.

Informações relacionadas

Autenticação de cliente no AWS Client VPN

AWS OFICIAL
AWS OFICIALAtualizada há um mês