Como posso substituir os certificados do meu AWS Client VPN para resolver um erro de handshake de TLS?

3 minuto de leitura
0

Meu AWS Client VPN está exibindo um erro de handshake de TLS. Quero verificar se meus certificados de endpoints expiraram e depois substituí-los.

Breve descrição

O Client VPN usa certificados para autenticar clientes quando eles tentam se conectar ao endpoint do Client VPN. Se os certificados expirarem, a sessão segura de TLS não poderá ser acordada com o endpoint e o cliente não poderá estabelecer uma conexão. Em seguida, seu Client VPN exibe um erro de handshake de TLS. Para resolver esse erro, substitua os certificados expirados sem recriar o endpoint.

Resolução

Confirme se seus certificados de endpoint expiraram

Primeiro, confirme se seus certificados expiraram. Abra o console do AWS Certificate Manager (ACM) para ver seus certificados atuais. Observe que todos os IDs de certificado usados pelo endpoint Client VPN estão expirados.

Renove os certificados expirados

Para renovar um certificado, siga estas etapas:

  1. Clone o repositório OpenVPN easy-rsa em seu computador local e navegue até a pasta easy-rsa/easyrsa3.

    $ git clone https://github.com/OpenVPN/easy-rsa.git cd easy-rsa/easyrsa3
  2. Inicie um novo ambiente de PKI.

    ./easyrsa init-pki
  3. Crie uma nova autoridade de certificação e siga todas as instruções:

    ./easyrsa build-ca nopass
  4. Gere o certificado e a chave do servidor:

    ./easyrsa build-server-full server nopass
  5. Gere o certificado e a chave do cliente. Anote o certificado do cliente e a chave privada do cliente.

    ./easyrsa build-client-full client1.domain.tld nopass
  6. Copie o certificado e a chave do servidor e o certificado e a chave do cliente em uma pasta personalizada.

    mkdir ~/custom_folder/cp pki/ca.crt ~/custom_folder/cp pki/issued/server.crt ~/custom_folder/cp pki/private/server.key ~/custom_folder/cp pki/issued/client1.domain.tld.crt ~/custom_foldercp pki/private/client1.domain.tld.key ~/custom_folder/cd ~/custom_folder/
  7. Depois de criar os novos certificados, importe-os para o AWS Certificate Manager. Certifique-se de que a região que você usa para acessar o console ao concluir esta etapa esteja correta para seu endpoint Client VPN.

Observação: lembre-se de que, ao concluir essas etapas, você cria uma nova Autoridade de Certificação (CA). Os tipos de arquivo que terminam em arquivos .crt contêm o corpo do certificado, os arquivos .key contêm a chave privada do certificado e os arquivos .crt contêm a cadeia de certificados.

Altere os certificados que o Client VPN usa

Depois de importar os novos certificados para o AWS Certificate Manager, agora você pode alterar os certificados que o endpoint Client VPN usa:

  1. No console do Amazon Virtual Private Cloud (Amazon VPC) selecione Client VPN endpoint.
  2. Selecione Ações e, em seguida, selecione Modificar endpoint Client VPN.
  3. Em Informações de autenticação, selecione o certificado do servidor criado.
  4. Selecione Modificar endpoint Client VPN para salvar as alterações.
  5. Faça o download dos arquivos de configuração do Client VPN para refletir as alterações feitas.
  6. Depois de se conectar com sucesso ao seu endpoint, exclua os certificados expirados.
  7. Você também pode usar a métrica de certificado DaysToExpiry no Amazon CloudWatch para rastrear a expiração do certificado e evitar erros de handshake de TLS.

Informações relacionadas

Autenticação mútua:

AWS OFICIAL
AWS OFICIALAtualizada há um ano