Comment remplacer les certificats de mon AWS Client VPN afin de résoudre une erreur d’établissement de connexion TLS ?

Lecture de 3 minute(s)
0

Mon AWS Client VPN affiche une erreur d’établissement de connexion TLS. Je souhaite vérifier si les certificats de mes points de terminaison ont expiré, puis les remplacer.

Brève description

Client VPN utilise des certificats pour authentifier les clients lorsqu’ils tentent de se connecter au point de terminaison VPN client. Si les certificats expirent, la session TLS sécurisée ne peut pas être approuvée avec le point de terminaison, et le client ne peut pas établir de connexion. Votre VPN client affiche alors une erreur d’établissement de connexion TLS. Pour résoudre cette erreur, remplacez les certificats expirés sans recréer le point de terminaison.

Résolution

Confirmation de l’expiration des certificats de point de terminaison

Vous devez d’abord confirmer que vos certificats ont expiré. Ouvrez la console AWS Certificate Manager (ACM) pour afficher vos certificats actuels. Prenez note de tous les ID de certificat utilisés par le point de terminaison VPN client et arrivés à expiration.

Renouvèlement des certificats expirés

Pour renouveler un certificat, procédez comme suit :

  1. Clonez le référentiel OpenVPN easy-rsa sur votre ordinateur local, puis accédez au dossier easy-rsa/easyrsa3.

    $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3
  2. Démarrez un nouvel environnement PKI.

    ./easyrsa init-pki
  3. Créez une nouvelle autorité de certification, puis suivez toutes les instructions fournies :

    ./easyrsa build-ca nopass
  4. Générez le certificat et la clé de serveur :

    ./easyrsa build-server-full server nopass
  5. Générez le certificat et la clé client. Prenez note du certificat client et de la clé privée client.

    ./easyrsa build-client-full client1.domain.tld nopass
  6. Copiez le certificat et la clé de serveur ainsi que le certificat et la clé client vers un dossier personnalisé.

    mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/
  7. Une fois que vous avez créé les nouveaux certificats, importez-les dans AWS Certificate Manager. Vérifiez que la région utilisée pour accéder à la console à cette étape correspond bien à celle de votre point de terminaison VPN client.

Remarque : notez qu’en suivant ces étapes, vous créez une nouvelle autorité de certification (CA). Les fichiers .crt contiennent le corps des certificats, les fichiers .key la clé privée des certificats et les fichiers ca.crt la chaîne de certificats.

Modification des certificats utilisés par Client VPN

Une fois que vous avez importé les nouveaux certificats dans AWS Certificate Manager, vous pouvez modifier les certificats utilisés par le point de terminaison VPN client :

  1. Dans la console Amazon Virtual Private Cloud (Amazon VPC), choisissez Point de terminaison VPN client.
  2. Choisissez Actions, puis Modifier le point de terminaison VPN client.
  3. Sous Informations d’authentification, choisissez le certificat de serveur que vous avez créé.
  4. Choisissez Modifier le point de terminaison VPN client pour enregistrer les modifications.
  5. Téléchargez les fichiers de configuration de Client VPN pour qu’ils tiennent compte des modifications apportées.
  6. Une fois la connexion à votre point de terminaison établie, supprimez les certificats expirés.
  7. Vous pouvez également utiliser la métrique de certificat DaysToExpiry dans Amazon CloudWatch pour anticiper l’expiration de votre certificat et éviter les erreurs d’établissement de connexion TLS.

Informations connexes

Authentification mutuelle

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an