Come posso sostituire i certificati per il mio VPN Client di AWS per risolvere un errore di handshake TLS?

3 minuti di lettura
0

Il mio VPN Client di AWS mostra un errore di handshake TLS. Voglio verificare se i certificati dei miei endpoint sono scaduti e in caso sostituirli.

Descrizione breve

VPN Client utilizza i certificati per autenticare i client quando tentano di connettersi all'endpoint VPN Client. Se i certificati scadono, la sessione TLS sicura non può essere concordata con l'endpoint e il client non può stabilire una connessione. VPN Client mostra quindi un errore di handshake TLS. Per risolvere questo errore, sostituisci i certificati scaduti senza ricreare l'endpoint.

Risoluzione

Conferma che i certificati degli endpoint sono scaduti

Innanzitutto, conferma che i tuoi certificati sono scaduti. Apri la console Gestione certificati AWS (ACM) per visualizzare i tuoi certificati attuali. Annota tutti gli ID di certificato utilizzati dall'endpoint VPN Client che sono scaduti.

Rinnova i certificati scaduti

Per rinnovare un certificato, segui questi passaggi:

  1. Clona il repository OpenVPN easy-rsa sul tuo computer locale, quindi vai alla cartella easy-rsa/easyrsa3.

    $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3
  2. Avvia un nuovo ambiente PKI.

    ./easyrsa init-pki
  3. Crea una nuova autorità di certificazione, quindi segui tutti i prompt:

    ./easyrsa build-ca nopass
  4. Genera il certificato e la chiave del server:

    ./easyrsa build-server-full server nopass
  5. Genera il certificato e la chiave del client. Annota il certificato e la chiave privata del client.

    ./easyrsa build-client-full client1.domain.tld nopass
  6. Copia il certificato e la chiave del server e il certificato e la chiave del client in una cartella personalizzata.

    mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/
  7. Dopo aver creato i nuovi certificati, importali in Gestione certificati AWS. Assicurati che la regione che utilizzi per accedere alla console quando completi questo passaggio sia corretta per il tuo endpoint VPN Client.

Nota: tieni presente che completando questi passaggi, crei una nuova autorità di certificazione. I tipi di file che terminano con .crt contengono il corpo del certificato, i file .key contengono la chiave privata dei certificati e i file ca.crt contengono la catena di certificati.

Modifica i certificati utilizzati da VPN Client

Dopo aver importato i nuovi certificati in Gestione certificati AWS, puoi modificare i certificati utilizzati dall'endpoint VPN Client:

  1. Dalla console Amazon Virtual Private Cloud (Amazon VPC), scegli Endpoint del client VPN.
  2. Scegli Azioni, quindi scegli Modifica l'endpoint del client VPN.
  3. In Informazioni di autenticazione, scegli il certificato del server che hai creato.
  4. Scegli Modifica l'endpoint del client VPN per salvare le modifiche.
  5. Scarica i file di configurazione di VPN Client per riflettere le modifiche apportate.
  6. Dopo aver effettuato correttamente la connessione all'endpoint, elimina i certificati scaduti.
  7. Puoi anche utilizzare il parametro DaysToExpiry in Amazon CloudWatch per monitorare la scadenza del certificato ed evitare errori di handshake TLS.

Informazioni correlate

Autenticazione reciproca

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa