Amazon-Web-Services
連接到 AWS 客戶端 VPN 終端節點時如何修復驗證證書錯誤?
我已經使用創建客戶端 VPN 端點中描述的步驟設置了客戶端 VPN 。
對於伺服器證書,我選擇了一個由 AWS Certificate Manager 新創建並驗證的公共證書。
我將身份驗證方法配置為使用
Use Active Directory authentication
與 AWS SimpleAD 目錄對應的目錄 ID。我將傳輸協議設置為 UDP。
當我下載客戶端配置並嘗試在 OSX 上通過 Tunnelblick (v3.7.8) 連接時,我收到以下錯誤:
VERIFY ERROR: depth=3, error=unable to get issuer certificate: C=US, ST=Arizona, L=Scottsdale, O=Starfield Technologies, Inc., CN=Starfield Services Root Certificate Authority - G2 OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed TLS_ERROR: BIO read tls_read_plaintext error TLS Error: TLS object -> incoming plaintext read error TLS Error: TLS handshake failed
有什麼想法沒有正確配置或者我可以做些什麼來解決這個問題?
看起來證書頒發機構根證書未正確導入您的客戶端。因此它無法驗證伺服器證書(針對任何有效的根 CA 證書)並抱怨
ssl3_get_server_certificate:certificate verify failed
.希望有幫助:)
繼Maruthi 的回答之後- 我會發表評論,但沒有足夠的聲譽……
這是來自 AWS 的類似**官方回答**
但是,至關重要的是,他們指定替換 ovpn 文件中的第三個證書,而不是最後一個證書。
原因
亞馬遜提供的客戶端 VPN 配置文件中缺少證書頒發機構 (CA) 鏈資訊,導致驗證失敗。
AWS Certificate Manager 生成的證書可能會出現此問題。
解決方案
打開客戶端 VPN 配置文件(.ovpn 文件)並將 in 部分中的第三個證書替換為以下證書,然後保存文件。
-----BEGIN CERTIFICATE----- MIID7zCCAtegAwIBAgIBADANBgkqhkiG9w0BAQsFADCBmDELMAkGA1UEBhMCVVMx EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxJTAjBgNVBAoT HFN0YXJmaWVsZCBUZWNobm9sb2dpZXMsIEluYy4xOzA5BgNVBAMTMlN0YXJmaWVs ZCBTZXJ2aWNlcyBSb290IENlcnRpZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5 MDkwMTAwMDAwMFoXDTM3MTIzMTIzNTk1OVowgZgxCzAJBgNVBAYTAlVTMRAwDgYD VQQIEwdBcml6b25hMRMwEQYDVQQHEwpTY290dHNkYWxlMSUwIwYDVQQKExxTdGFy ZmllbGQgVGVjaG5vbG9naWVzLCBJbmMuMTswOQYDVQQDEzJTdGFyZmllbGQgU2Vy dmljZXMgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIwDQYJKoZI hvcNAQEBBQADggEPADCCAQoCggEBANUMOsQq+U7i9b4Zl1+OiFOxHz/Lz58gE20p OsgPfTz3a3Y4Y9k2YKibXlwAgLIvWX/2h/klQ4bnaRtSmpDhcePYLQ1Ob/bISdm2 8xpWriu2dBTrz/sm4xq6HZYuajtYlIlHVv8loJNwU4PahHQUw2eeBGg6345AWh1K Ts9DkTvnVtYAcMtS7nt9rjrnvDH5RfbCYM8TWQIrgMw0R9+53pBlbQLPLJGmpufe hRhJfGZOozptqbXuNC66DQO4M99H67FrjSXZm86B0UVGMpZwh94CDklDhbZsc7tk 6mFBrMnUVN+HL8cisibMn1lUaJ/8viovxFUcdUBgF4UCVTmLfwUCAwEAAaNCMEAw DwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYEFJxfAN+q AdcwKziIorhtSpzyEZGDMA0GCSqGSIb3DQEBCwUAA4IBAQBLNqaEd2ndOxmfZyMI bw5hyf2E3F/YNoHN2BtBLZ9g3ccaaNnRbobhiCPPE95Dz+I0swSdHynVv/heyNXB ve6SbzJ08pGCL72CQnqtKrcgfU28elUSwhXqvfdqlS5sdJ/PHLTyxQGjhdByPq1z qwubdQxtRbeOlKyWN7Wg0I8VRw7j6IPdj/3vQQF3zCepYoUz8jcI73HPdwbeyBkd iEDPfUYd/x7H4c7/I9vG+o1VTqkC50cRRj70/b17KSa7qWFiNyi2LSr2EIZkyXCn 0q23KXB56jzaYyWf/Wi3MOxw+3WKt21gZ7IeyLnp2KhvAotnDU0mV3HaIPzBSlCN sSi6 -----END CERTIFICATE-----
將更新的配置文件導入 OpenVPN Connect 客戶端軟體並連接到客戶端 VPN 端點。
替換最後一個證書對我不起作用,但替換第三個證書確實並最終為我解決了這個問題。