Client VPN エンドポイントに関連付けられた証明書の有効期限が近づいたときに通知を受け取る方法を教えてください。

所要時間1分
0

エンドポイントに接続しようとしたときにエラーが発生しないように、AWS Client VPN エンドポイントで使用しているサーバー証明書の有効期限が近づいたときに通知を受け取りたいです。

簡単な説明

クライアント VPN エンドポイントを作成するには、使用する認証の種類に関係なく、AWS Certificate Manager (ACM) でサーバー証明書をプロビジョニングします。エンドポイントは、VPC と OpenVPN ベースのクライアント間のサーバー証明書を使用して安全な Transport Layer Security (TLS) を確立します。

このサーバー証明書は、限られた期間のみ有効です。認証フェーズにおいて、クライアント VPN エンドポイントは、インポートしたクライアント証明書失効リストとサーバー証明書を照合します。クライアント証明書失効リストの有効期限が切れている場合は、クライアント VPN エンドポイントに接続できません。

システムは次のエラーを記録します。

TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
TLS Error: TLS handshake failed

解決策解決方法

通常、クライアント VPN サービスは、サーバー証明書の有効期限が近づいていることを通知しません。ただし、この情報は、証明書マネージャー名前空間にある DaysToExpiry という Amazon CloudWatch メトリクスを使用して取得できます。このメトリクスは、Client VPN エンドポイントでサーバー証明書の有効期限が切れるまでの残り日数を示します。

Amazon CloudWatch の DaysToExpiry メトリクスを使用する

証明書に関する CloudWatch メトリクス DaysToExpiry は、グラフのように表示されます。時間の経過に伴い、メトリクスはゼロに達するまで減少を続けます。達した時点で、証明書の有効期限は失効するよう設定されます。この時点で、Client VPN エンドポイントに関連付けられている証明書は無効になります。クライアントとクライアント VPN エンドポイント間の TLS ハンドシェイクがすることになります。その結果、クライアントはクライアント VPN エンドポイントで認証を受けることができません。

メトリクスにカスタムアラームを設定する

このメトリクスにはアラームを設定できます。カウンターが設定値に達すると、アラームが生成されます。たとえば、10 に設定した場合、証明書の失効まで 10 日間となった時点でアラームが発生します。アラームは、サーバー証明書を更新して再インポートする時期であることを管理者に知らせます。Amazon Simple Notification Service (Amazon SNS) トピックの詳細については、「Amazon SNS トピックを作成する」を参照してください。

1 つのメトリクスに対して複数のアラームを作成できます。たとえば、「証明書の有効期限まで 5 日」と「証明書の有効期限まで 1 日」という 2 つのアラームを追加設定できます。管理者が 10 日前の警告通知を見逃した場合でも、5 日前と 1 日前のアラームで通知されます。管理者が失効した証明書のリストを更新し、PEM 形式の新しい証明書ファイルを生成します。次に、管理者がそれをクライアント VPN エンドポイントに再インポートします。

新しいサーバー証明書を生成する

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

Easy RSA 認証期間の場合:

  1. 次のコマンドを使用して新しいサーバー証明書を生成します。
    ./easyrsa build-server-full server nopass
    注: ネームサーバーを目的の証明書の名前に置き換えます。
  2. 次に、サーバー証明書をクライアント VPN エンドポイントに再インポートします。
  3. または、次の AWS CLI コマンドを使用して、クライアント VPN エンドポイントの CRL を更新します。次に、ACM にサーバー証明書を再インポートします。
    注: 有効期限が近づいているサーバー証明書の Amazon リソースネーム (ARN) が必要です。
    aws acm import-certificate --certificate fileb://Certificate.pem \
    --certificate-chain file://CertificateChain.pem \
    --private-key file://PrivateKey.pem \
    --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901

関連情報

証明書の再インポート

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ