Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
Client VPN 엔드포인트에 연결된 인증서가 만료되기 전에 알림을 받으려면 어떻게 해야 합니까?
AWS Client VPN 엔드포인트에서 사용 중인 서버 인증서가 만료되기 전에 알림을 받아 엔드포인트에 연결하려고 할 때 오류가 발생하지 않도록 하고 싶습니다.
간략한 설명
Client VPN 엔드포인트를 생성하려면 사용하는 인증 유형에 관계없이 AWS Certificate Manager(ACM)에서 서버 인증서를 프로비저닝하십시오. 엔드포인트는 VPC와 OpenVPN 기반 클라이언트 간의 서버 인증서를 사용하여 안전한 Transport Layer Security(TLS)를 설정합니다.
이 서버 인증서는 제한된 기간 동안만 유효합니다. 인증 단계에서 Client VPN 엔드포인트는 가져온 클라이언트 인증서 폐기 목록과 서버 인증서를 확인합니다. 클라이언트 인증서 폐기 목록이 만료되면 Client VPN 엔드포인트에 연결할 수 없습니다.
시스템에서 다음 오류를 기록합니다.
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed
해결 방법
일반적으로 Client VPN 서비스는 서버 인증서가 곧 만료될 예정임을 알리지 않습니다. 하지만 이 정보는 Certificate Manager 네임스페이스에서 사용할 수 있는 DaysToExpiry라는 Amazon CloudWatch 지표에서 얻을 수 있습니다. 이 지표는 Client VPN 엔드포인트에 대한 서버 인증서가 만료되기까지 남은 일수를 알려줍니다.
Amazon CloudWatch DaysToExpiry 지표 사용
인증서에 대한 CloudWatch 지표 DaysToExpiry는 그래프처럼 보입니다. 시간이 지남에 따라 지표는 계속 감소하여 인증서의 유효 기간이 만료되는 시점인 0에 도달합니다. 현재 Client VPN 엔드포인트와 연결된 인증서는 더 이상 유효하지 않습니다. 클라이언트와 Client VPN 엔드포인트 간의 TLS 핸드셰이크가 실패합니다. 따라서 클라이언트는 Client VPN 엔드포인트에서 인증을 받을 수 없습니다.
지표에 대한 사용자 지정 경보 설정
이 지표에 경보를 설정할 수 있습니다. 카운터가 "10"과 같이 인증서 만료까지 10일이 남았다는 설정 값에 도달하면 경보가 발생합니다. 경보를 통해 관리자는 서버 인증서를 업데이트하고 다시 가져와야 할 때임을 알 수 있습니다. Amazon Simple Notification Service(Amazon SNS) 주제에 대한 자세한 내용은 Amazon SNS 주제 생성을 참조하십시오.
단일 지표에 대해 여러 경보를 생성할 수 있습니다. 예를 들어 두 개의 추가 경보(인증서 만료까지 5일, 인증서 만료까지 1일)를 설정할 수 있습니다. 관리자가 10일 경고 알림을 놓친 경우에도 5일 경보와 1일 경보를 통해 알림을 받습니다. 관리자는 폐기된 인증서 목록을 업데이트하고 PEM 형식의 새 인증서 파일을 생성합니다. 그런 다음 관리자는 이를 Client VPN 엔드포인트로 다시 가져옵니다.
새 서버 인증서 생성
참고: AWS Command Line Interface(AWS CLI) 명령 실행 시 오류가 발생하는 경우, AWS CLI 오류 문제 해결을 참고하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.
Easy RSA 인증 기관의 경우:
- 다음 명령을 사용하여 새 서버 인증서를 생성합니다.
참고: 이름 서버를 원하는 인증서 이름으로 교체합니다../easyrsa build-server-full server nopass - 그런 다음 Client VPN 엔드포인트로 서버 인증서를 다시 가져옵니다.
- 또는 다음 AWS CLI 명령을 사용하여 Client VPN 엔드포인트에서 CRL을 업데이트합니다. 그런 다음 ACM에서 서버 인증서를 다시 가져옵니다.
참고: 만료 예정인 서버 인증서의 Amazon 리소스 이름(ARN)이 있어야 합니다.aws acm import-certificate --certificate fileb://Certificate.pem \ --certificate-chain file://CertificateChain.pem \ --private-key file://PrivateKey.pem \ --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
관련 정보
관련 콘텐츠
- AWS 공식업데이트됨 2년 전
- AWS 공식업데이트됨 일 년 전
- AWS 공식업데이트됨 3년 전
