如何取代 Client VPN 端點憑證以解決 TLS 交握錯誤？

解決方法

注意： 如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息，則請參閱對 AWS CLI 進行錯誤疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。

當 VPN 用戶端端點憑證過期時，安全的 TLS 工作階段無法與端點協調，且用戶端無法建立連線。然後，Client VPN 會顯示 TLS 交握錯誤。

識別已過期的端點憑證

使用 AWS Certificate Manager (ACM) 主控台檢視您目前的憑證，並記下 Client VPN 端點所使用之所有過期憑證的 ID。

重新建立新憑證

如果您可以存取預先存在的公開金鑰基礎結構 (PKI) 環境，請續訂現有憑證。您的 PKI 環境必須包含您的憑證認證機構、伺服器憑證和用戶端憑證。

如果您無法存取預先存在的 PKI 環境，請重新建立憑證。重新建立憑證時，您會建立新的憑證認證機構。以 .crt 結尾的檔案類型包含憑證內文，金鑰檔案包含憑證私有金鑰，而 ca.crt 檔案則包含憑證鏈。

若要重新建立憑證，請參閱啟用 AWS Client VPN 的相互身分驗證。在最後一個步驟中，請執行 import-certificate AWS CLI 命令以重新匯入您重新建立的憑證：

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

在 VPN 用戶端接受請求後，對 Client VPN 端點進行的修改最多需要 4 小時才能生效。若要立即實作變更，您可以取消目標網路與 Client VPN 端點的關聯，然後再次重新建立目標網路的關聯。當您取消目標網路的關聯時，您手動新增至「Client VPN 端點路由表」的所有路由都會被刪除。在重新建立目標網路的關聯之後，請務必重新建立手動新增的路由。

下載新 Client VPN 端點組態檔案

請完成下列步驟：

1. 使用 Amazon Virtual Private Cloud (Amazon VPC) 主控台或 AWS CLI 下載新的 Client VPN 端點組態檔案。
2. 將用戶端憑證和用戶端私密金鑰新增至您下載的 .ovpn 組態檔案。

相關資訊

AWS Client VPN 中的用戶端驗證