簡短說明

當用戶端嘗試連線到 Client VPN 端點時，Client VPN 會使用憑證來進行用戶端身分驗證。如果憑證到期，則無法與端點達成安全 TLS 工作階段，用戶端也無法建立連線。然後，您的 Client VPN 會顯示 TLS 信號交換錯誤。若要解決此錯誤，請在不重新建立端點的情況下，更換過期的憑證。

解決方法

確認您的端點憑證已過期

首先，請確認您的憑證已過期。開啟 AWS Certificate Manager (ACM) 主控台以便檢視您目前的憑證。請記下 Client VPN 端點使用的任何已過期的憑證 ID。

為過期的憑證續約

若要續約憑證，請按照以下步驟操作：

1. 將 OpenVPN easy-rsa 儲存庫複製到本機電腦，然後前往 easy-rsa/easyrsa3 資料夾。

   $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3

2. 啟動新的 PKI 環境。

   ./easyrsa init-pki

3. 建立新的憑證授權機構，然後依照所有的提示操作：

   ./easyrsa build-ca nopass

4. 產生伺服器憑證和金鑰：

   ./easyrsa build-server-full server nopass

5. 產生用戶端憑證和金鑰。請記下用戶端憑證和用戶端私有金鑰。

   ./easyrsa build-client-full client1.domain.tld nopass

6. 將伺服器憑證和金鑰以及用戶端憑證和金鑰複製到自訂資料夾。

   mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/

7. 建立新憑證後，將其匯入 AWS Certificate Manager。請確定您在完成此步驟時用於存取主控台的「區域」適用於 Client VPN 端點。

**注意：**請注意，完成這些步驟即可建立新的憑證授權機構 (CA)。檔案類型以 .crt 結尾的檔案包含憑證內文，.key 檔案包含憑證私有金鑰，而 ca.crt 檔案則包含憑證鏈。

變更 Client VPN 使用的憑證

將新憑證匯入 AWS Certificate Manager 之後，您現在可以變更 Client VPN 端點使用的憑證：

1. 從 Amazon Virtual Private Cloud (Amazon VPC) 主控台中，選擇「Client VPN 端點」。
2. 選擇「動作」，然後選擇「修改 Client VPN 端點」。
3. 在「身分驗證資訊」下，選擇您建立的伺服器憑證。
4. 選擇「修改 Client VPN 端點」以儲存變更。
5. 下載 Client VPN 組態檔以便反映所做的變更。
6. 成功連線到您的端點後，請刪除過期的憑證。
7. 您也可以使用 Amazon CloudWatch 中的 DaysToExpiry 憑證指標來追蹤憑證期限，並避免發生 TLS 信號交換錯誤。

相關資訊

相互身分驗證