客户端日志显示“OpenSSL Error(Certificate verify failed)”

故障现象

客户端无法正常连接终端入云VPN网关，日志中记录如下错误：

OpenSSL: error:0A000086:SSL routines::certificate verify failed

可能原因

VPN网关使用的服务端证书缺少Extended Key Usage扩展属性，导致验证失败。

处理步骤

1. 请检查并确保生成的服务端证书中包含Extended Key Usage扩展属性，如图1所示。
   图1 Extended Key Usage
   
   • 使用Easy-RSA的shell命令“./easyrsa build-server-full”生成的服务端证书默认携带此属性。
   • 使用OpenSSL自签发的服务端证书不携带此扩展属性，需要在证书文件中补充配置“extendedKeyUsage = serverAuth”。
2. 将包含该属性的服务端证书托管到云证书管理服务中，在VPN网关的“服务端”页签中更换服务端证书，客户端再重新接入。