For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?
如何取代 Client VPN 端點憑證以解決 TLS 交握錯誤?
AWS Client VPN 顯示 TLS 交握錯誤。我想檢查已過期的端點憑證,然後換這些憑證。
解決方法
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請參閱對 AWS CLI 錯誤進行疑難排解。此外,請確定您使用的是最新的 AWS CLI 版本。
當 VPN 用戶端端點憑證過期時,安全的 TLS 工作階段無法與端點協調,且用戶端無法建立連線。然後,Client VPN 會顯示 TLS 交握錯誤。
識別已過期的端點憑證
開啟 AWS Certificate Manager (ACM) 主控台。檢視您目前的憑證,並記下 Client VPN 端點所使用之所有過期憑證的 ID。
重新建立新憑證
如果您可以存取目前的公用金鑰基礎架構 (PKI) 環境,請為 AWS Client VPN 更新現有的伺服器憑證。您的 PKI 環境必須包含您的憑證認證機構、伺服器憑證和用戶端憑證。
如果您無法存取先前現有的 PKI 環境,請重新建立憑證以建立新的憑證認證機構。以 .crt 結尾的檔案類型包含憑證內文,金鑰檔案包含憑證私有金鑰,而 ca.crt 檔案則包含憑證鏈。
若要重新建立憑證,請參閱啟用 AWS Client VPN 的相互身分驗證。在最後一個步驟中,請執行 import-certificate AWS CLI 命令以重新匯入您重新建立的憑證:
aws acm import-certificate \ --certificate fileb://server.crt \ --private-key fileb://server.key \ --certificate-chain fileb://ca.crt \ --certificate-arn arn:aws:acm:region:123456789012:certificate/12345678-1234-1234-1234-12345678901
當您更新用戶端 VPN 使用的憑證時,服務會自動使用新憑證更新用戶端 VPN 端點。此過程可能需要長達 24 小時。
若要立即套用更新,請取消目標網路與用戶端 VPN 端點的關聯,然後重新建立目標網路的關聯。當您取消目標網路的關聯時,您會從端點的路由表中移除所有手動新增的路由。
重新建立目標網路關聯後,請務必重新建立用戶端 VPN 端點路由。
下載新 Client VPN 端點組態檔案
若要下載新的用戶端 VPN 端點組態檔,請完成下列步驟。
- 使用 Amazon Virtual Private Cloud (Amazon VPC) 或 AWS CLI 匯出 AWS Client VPN 用戶端組態檔。
- 將 AWS Client VPN 用戶端憑證和金鑰資訊新增至您下載的 .ovpn 組態檔。
相關資訊
- 語言
- 中文 (繁體)
相關內容
- 已提問 2 年前
