文档首页/ 虚拟专用网络 VPN/ 故障排除/ 终端入云VPN/ 客户端连接失败/ 客户端日志显示“OpenSSL: error:0A000086:SSL routines::certificate verify failed”
更新时间:2024-12-10 GMT+08:00
分享

客户端日志显示“OpenSSL: error:0A000086:SSL routines::certificate verify failed”

适用的客户端

  • Linux
  • Windows OpenVPN GUI
  • Windows OpenVPN Connect

故障现象

客户端无法正常连接终端入云VPN网关,日志中记录如下错误:

OpenSSL: error:0A000086:SSL routines::certificate verify failed

可能原因

VPN网关使用的服务端证书缺少Extended Key Usage扩展属性,导致验证失败。

处理步骤

  1. 请检查并确保生成的服务端证书中包含Extended Key Usage扩展属性,如图1所示。
    图1 Extended Key Usage
    • 使用Easy-RSA的shell命令“./easyrsa build-server-full”生成的服务端证书默认携带此属性。
    • 使用OpenSSL自签发的服务端证书不携带此扩展属性,需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。
  2. 将包含该属性的服务端证书托管到云证书管理服务中,在VPN网关的“服务端”页签中更换服务端证书,客户端再重新接入。

相关文档