Amazon-Web-Services

連接到 AWS 客戶端 VPN 終端節點時如何修復驗證證書錯誤?

  • July 23, 2021

我已經使用創建客戶端 VPN 端點中描述的步驟設置了客戶端 VPN 。

對於伺服器證書,我選擇了一個由 AWS Certificate Manager 新創建並驗證的公共證書。

我將身份驗證方法配置為使用Use Active Directory authentication與 AWS SimpleAD 目錄對應的目錄 ID。

我將傳輸協議設置為 UDP。

當我下載客戶端配置並嘗試在 OSX 上通過 Tunnelblick (v3.7.8) 連接時,我收到以下錯誤:

VERIFY ERROR: depth=3, error=unable to get issuer certificate: C=US, ST=Arizona, L=Scottsdale, O=Starfield Technologies, Inc., CN=Starfield Services Root Certificate Authority - G2
OpenSSL: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
TLS_ERROR: BIO read tls_read_plaintext error
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed

有什麼想法沒有正確配置或者我可以做些什麼來解決這個問題?

看起來證書頒發機構根證書未正確導入您的客戶端。因此它無法驗證伺服器證書(針對任何有效的根 CA 證書)並抱怨ssl3_get_server_certificate:certificate verify failed.

希望有幫助:)

Maruthi 的回答之後- 我會發表評論,但沒有足夠的聲譽……

這是來自 AWS 的類似**官方回答**

在此處輸入圖像描述

但是,至關重要的是,他們指定替換 ovpn 文件中的第三個證書,而不是最後一個證書。

原因

亞馬遜提供的客戶端 VPN 配置文件中缺少證書頒發機構 (CA) 鏈資訊,導致驗證失敗。

AWS Certificate Manager 生成的證書可能會出現此問題。

解決方案

打開客戶端 VPN 配置文件(.ovpn 文件)並將 in 部分中的第三個證書替換為以下證書,然後保存文件。

-----BEGIN CERTIFICATE-----
MIID7zCCAtegAwIBAgIBADANBgkqhkiG9w0BAQsFADCBmDELMAkGA1UEBhMCVVMx
EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxJTAjBgNVBAoT
HFN0YXJmaWVsZCBUZWNobm9sb2dpZXMsIEluYy4xOzA5BgNVBAMTMlN0YXJmaWVs
ZCBTZXJ2aWNlcyBSb290IENlcnRpZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTA5
MDkwMTAwMDAwMFoXDTM3MTIzMTIzNTk1OVowgZgxCzAJBgNVBAYTAlVTMRAwDgYD
VQQIEwdBcml6b25hMRMwEQYDVQQHEwpTY290dHNkYWxlMSUwIwYDVQQKExxTdGFy
ZmllbGQgVGVjaG5vbG9naWVzLCBJbmMuMTswOQYDVQQDEzJTdGFyZmllbGQgU2Vy
dmljZXMgUm9vdCBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkgLSBHMjCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBANUMOsQq+U7i9b4Zl1+OiFOxHz/Lz58gE20p
OsgPfTz3a3Y4Y9k2YKibXlwAgLIvWX/2h/klQ4bnaRtSmpDhcePYLQ1Ob/bISdm2
8xpWriu2dBTrz/sm4xq6HZYuajtYlIlHVv8loJNwU4PahHQUw2eeBGg6345AWh1K
Ts9DkTvnVtYAcMtS7nt9rjrnvDH5RfbCYM8TWQIrgMw0R9+53pBlbQLPLJGmpufe
hRhJfGZOozptqbXuNC66DQO4M99H67FrjSXZm86B0UVGMpZwh94CDklDhbZsc7tk
6mFBrMnUVN+HL8cisibMn1lUaJ/8viovxFUcdUBgF4UCVTmLfwUCAwEAAaNCMEAw
DwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAQYwHQYDVR0OBBYEFJxfAN+q
AdcwKziIorhtSpzyEZGDMA0GCSqGSIb3DQEBCwUAA4IBAQBLNqaEd2ndOxmfZyMI
bw5hyf2E3F/YNoHN2BtBLZ9g3ccaaNnRbobhiCPPE95Dz+I0swSdHynVv/heyNXB
ve6SbzJ08pGCL72CQnqtKrcgfU28elUSwhXqvfdqlS5sdJ/PHLTyxQGjhdByPq1z
qwubdQxtRbeOlKyWN7Wg0I8VRw7j6IPdj/3vQQF3zCepYoUz8jcI73HPdwbeyBkd
iEDPfUYd/x7H4c7/I9vG+o1VTqkC50cRRj70/b17KSa7qWFiNyi2LSr2EIZkyXCn
0q23KXB56jzaYyWf/Wi3MOxw+3WKt21gZ7IeyLnp2KhvAotnDU0mV3HaIPzBSlCN
sSi6
-----END CERTIFICATE-----

將更新的配置文件導入 OpenVPN Connect 客戶端軟體並連接到客戶端 VPN 端點。

替換最後一個證書對我不起作用,但替換第三個證書確實並最終為我解決了這個問題。

引用自:https://serverfault.com/questions/948478