本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 疑难解答 AWS Client VPN：客户端软件在尝试连接到 Client VPN 时返回 TLS 错误
<a name="client-cannot-connect"></a>

**问题**  
我曾经能够成功地将我的客户端连接到 Client VPN，但现在基于 OpenVPN 的客户端在尝试连接时返回以下错误之一：

```
TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) 
TLS Error: TLS handshake failed
```

```
Connection failed because of a TLS handshake error. Contact your IT administrator.
```

**可能的原因 1**  
如果您使用的是双向身份验证，并且已导入一个客户端证书吊销列表，则该客户端证书吊销列表可能已过期。在身份验证阶段，Client VPN 端点会根据您导入的客户端证书吊销列表检查客户端证书。如果客户端证书吊销列表已过期，则无法连接到 Client VPN 端点。

**解决方案 1**  
使用 OpenSSL 工具检查客户端证书吊销列表的到期日期。

```
$ openssl crl -in {{path_to_crl_pem_file}} -noout -nextupdate
```

输出将显示到期日期和时间。如果客户端证书吊销列表已过期，则必须创建一个新的客户端证书吊销列表并将其导入 Client VPN 端点。有关更多信息，请参阅 [AWS Client VPN 客户证书吊销列表](cvpn-working-certificates.md)。

**可能的原因 2**  
用于 Client VPN 端点的服务器证书已过期。

**解决方案 2**  
在 AWS Certificate Manager 控制台中或使用 AWS CLI 检查服务器证书的状态。如果服务器证书已过期，请创建新证书并将其上传到 ACM。有关使用 [OpenVPN easy-rsa 实用程序](https://github.com/OpenVPN/easy-rsa)生成服务器和客户端证书和密钥并将其导入 ACM 的详细步骤，请参阅[相互认证 AWS Client VPN](mutual.md)。

或者，客户端用于连接到 Client VPN 的基于 OpenVPN 的软件可能出现了问题。有关排查基于 OpenVPN 的软件问题的更多信息，请参阅《AWS Client VPN 用户指南》**中的[排查 Client VPN 连接问题](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/troubleshooting.html)。