Comment puis-je être averti lorsque le certificat associé au point de terminaison VPN client est sur le point d'expirer ?

Lecture de 4 minute(s)
0

Je souhaite être averti lorsque le certificat de serveur utilisé avec le point de terminaison VPN client AWS est sur le point d'expirer afin de ne pas recevoir d'erreur lorsque j'essaie de me connecter au point de terminaison.

Brève description

Pour créer un point de terminaison VPN client, provisionnez un certificat de serveur dans AWS Certificate Manager (ACM), quel que soit le type d'authentification que vous utilisez. Le point de terminaison établit un protocole TLS (Transport Layer Security) sécurisé à l'aide du certificat de serveur entre votre VPC et le client basé sur OpenVPN.

Ce certificat de serveur n'est valide que pour une période limitée. Pendant la phase d'authentification, le point de terminaison VPN client vérifie le certificat du serveur par rapport à la liste de révocation du certificat client que vous avez importée. Si la liste de révocation du certificat client a expiré, vous ne pouvez pas vous connecter au point de terminaison VPN client.

Votre système journalise l'erreur suivante :

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

Résolution

En règle générale, le service VPN client ne vous informe pas que votre certificat de serveur est sur le point d'expirer. Toutefois, vous pouvez obtenir ces informations à l'aide d'une métrique Amazon CloudWatch appelée DaysToExpiry, disponible dans l'espace de noms Certificate Manager. Cette métrique vous indique le nombre de jours restant avant l'expiration du certificat de serveur pour votre point de terminaison VPN client.

Utiliser la métrique Amazon CloudWatch DaysToExpiry

La métrique CloudWatch DaysToExpiry pour le certificat ressemble à un graphique. Au fil du temps, la métrique continue de diminuer jusqu'à atteindre zéro, date à laquelle la validité du certificat est sur le point d'expirer. À l'heure actuelle, le certificat associé au point de terminaison VPN client n'est plus valide. La liaison TLS entre le client et le point de terminaison VPN du client échoue. Par conséquent, le client ne peut pas s'authentifier sur le point de terminaison VPN client.

Définir une alarme personnalisée pour la métrique

Vous pouvez définir une alarme pour cette métrique. Lorsque le compteur atteint une valeur définie, telle que « 10 » pendant les 10 jours restants avant l'expiration du certificat, il génère une alarme. L'alarme indique à l'administrateur qu'il est temps de mettre à jour le certificat du serveur et de le réimporter. Pour plus d'informations sur les rubriques relatives à Amazon Simple Notification Service (Amazon SNS), consultez la section Création d'une rubrique Amazon SNS.

Vous pouvez créer plusieurs alarmes pour une seule métrique. Par exemple, vous pouvez choisir de configurer deux alarmes supplémentaires : cinq jours avant l'expiration du certificat et un jour avant l'expiration du certificat. Si l'administrateur ne reçoit pas la notification d'avertissement de dix jours, il est tout de même averti par les alarmes de cinq jours et d'un jour. L'administrateur met à jour la liste des certificats révoqués et génère un nouveau fichier de certificat au format PEM. Ensuite, l'administrateur le réimporte vers le point de terminaison VPN client.

Générer un nouveau certificat de serveur

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l’AWS CLI.

Pour les autorités de certification Easy RSA :

  1. Utilisez la commande suivante pour générer un nouveau certificat de serveur :
    ./easyrsa build-server-full server nopass
    Remarque : Remplacez le serveur de noms par le nom du certificat souhaité.
  2. Puis, réimportez le certificat de serveur sur le point de terminaison VPN client.
  3. Vous pouvez également utiliser la commande AWS CLI suivante pour mettre à jour la CRL sur le point de terminaison VPN du client. Puis, réimportez le certificat de serveur sur l'ACM.
    Remarque : Vous devez disposer de l'Amazon Resource Name (ARN) du certificat de serveur qui est sur le point d'expirer.
    aws acm import-certificate --certificate fileb://Certificate.pem \
    --certificate-chain file://CertificateChain.pem \
    --private-key file://PrivateKey.pem \
    --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Informations connexes

Réimportation d’un certificat

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an