Client VPN エンドポイントの証明書を置き換え、TLS ハンドシェイクエラーを解決する方法を教えてください。

解決策

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI で発生したエラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

VPN クライアントエンドポイントの証明書が期限切れになると、セキュア TLS セッションがエンドポイントと一致しなくなるため、クライアントは接続を確立できなくなります。その場合、Client VPN は TLS ハンドシェイクエラーを返します。

期限切れのエンドポイント証明書を特定する

AWS Certificate Manager (ACM) コンソールを開きます。現在の証明書を確認し、クライアント VPN エンドポイントが使用する証明書のうち、すべての期限切れ証明書の ID を書き留めます。

新しい証明書を再作成する

現在のパブリックキーインフラストラクチャ (PKI) 環境にアクセスできる場合は、AWS Client VPN 用の既存のサーバー証明書を更新します。PKI 環境には、認証機関、サーバー証明書、クライアント証明書が含まれている必要があります。

既存の PKI 環境にアクセスできない場合は、証明書を再作成して新しい認証機関を作成します。.crt ファイルで終わるファイルタイプには証明書本文が、.key ファイルには証明書の秘密鍵が、ca.crt ファイルには証明書チェーンが含まれます。

証明書を再作成する方法については、「AWS Client VPN で相互認証を有効にする」を参照してください。最後のステップとして、AWS CLI コマンド import-certificate を実行し、再作成した証明書を再インポートします。

aws acm import-certificate \  
--certificate fileb://server.crt \  
--private-key fileb://server.key \  
--certificate-chain fileb://ca.crt \  
--certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

Client VPN が使用する証明書を更新すると、サービスは自動的にクライアント VPN エンドポイントを新しい証明書で更新します。この処理には最大 24 時間かかることがあります。

アップデートを直ちに適用するには、ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除し、ターゲットネットワークを再度関連付けます。ターゲットネットワークの関連付けを解除すると、手動で追加したすべてのルートはエンドポイントのルートテーブルから削除されます。

ターゲットネットワークを再度関連付けた後、クライアント VPN エンドポイントのルートを再作成する必要があります。

新しい Client VPN エンドポイントの設定ファイルをダウンロードする

新しい Client VPN エンドポイントの設定ファイルをダウンロードするには、次の手順を実行します。

1. Amazon Virtual Private Cloud (Amazon VPC) または AWS CLI を使用して AWS Client VPN のクライアント設定ファイルをエクスポートします。
2. AWS Client VPN クライアントの証明書とキー情報を、ダウンロードした .ovpn 設定ファイルに追加します。

関連情報

AWS Client VPN でのクライアント認証