Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
如何替换 Client VPN 端点证书以解决 TLS 握手错误?
AWS Client VPN 显示 TLS 握手错误。我想检查已过期的端点证书,然后将其替换。
解决方案
**注意:**如果您在运行 AWS 命令行界面 (AWS CLI) 命令时收到错误,请参阅 AWS CLI 错误故障排除。此外,请确保您使用的是最新版本的 AWS CLI。
当 VPN 客户端端点证书过期时,将无法与端点达成安全 TLS 会话,客户端也无法建立连接。然后,Client VPN 将显示 TLS 握手错误。
识别已过期的端点证书
打开 AWS Certificate Manager (ACM) 控制台。查看当前证书并记下 Client VPN 端点使用的所有过期证书的 ID。
重新创建新的证书
如果您有权访问当前的公钥基础设施 (PKI) 环境,请续订 AWS Client VPN 的现有服务器证书。您的 PKI 环境必须包括您的证书颁发机构、服务器证书和客户端证书。
如果您无权访问先前存在的 PKI 环境,请重新创建证书以创建新的证书颁发机构。以 .crt 结尾的文件类型包含证书正文,.key 文件包含证书私钥,ca.crt 文件包含证书链。
要重新创建证书,请参阅为 AWS Client VPN 启用双向身份验证。最后一步,运行 AWS CLI 命令 import-certificate 以重新导入您重新创建的证书:
aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt \ --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
当您更新 Client VPN 使用的证书时,该服务会自动使用新证书更新 Client VPN 端点。此过程可能需要长达 24 小时。
要立即应用更新,请取消目标网络与 Client VPN 端点的关联,然后重新关联目标网络。取消关联目标网络时,将从端点的路由表中移除所有手动添加的路由。
重新关联目标网络后,请务必重新创建 Client VPN 端点路由。
下载新的 Client VPN 端点配置文件
要下载新的 Client VPN 端点配置文件,请完成以下步骤。
- 使用 Amazon Virtual Private Cloud (Amazon VPC) 或 AWS CLI 导出 AWS Client VPN 客户端配置文件。
- 向您下载的 .ovpn 配置文件中添加 AWS Client VPN 客户端证书和密钥信息。
