客户端日志显示“TLS Error: TLS handshake failed”

适用的客户端

• Linux
• Windows OpenVPN GUI

故障现象

客户端无法正常连接终端入云VPN网关，日志中记录如下错误：

TLS Error: TLS handshake failed

可能原因

客户端配置文件中的证书和私钥与VPN网关“服务端”页签中导入的客户端CA证书不匹配。

处理步骤

1. 检查导入的客户端CA证书是否正确。
   1. 登录管理控制台。
   2. 在管理控制台左上角单击图标，选择区域和项目。
   3. 在页面左上角单击图标，选择“网络 > 虚拟专用网络VPN”。
   4. 在左侧导航栏，选择“虚拟专用网络 > 企业版-VPN网关”。
   5. 单击“终端入云VPN网关”进入“终端入云VPN网关”页面，单击目标VPN网关操作列的“查看服务端”。
   6. 在服务端页签中，查看客户端CA证书的颁发者信息。
   7. 双击目标客户端CA证书，单击详细信息，查看颁发者信息。
      • 如果两边的颁发者信息一致，请继续步骤2。
      • 如果两边的颁发者信息不一致，请参考以下步骤，重新导入客户端CA证书。
      1. 在“服务端”界面，在“客户端认证类型”下拉选项中选择“证书认证 ”，单击“上传CA证书”。
      2. 根据界面提示填写相关信息。

         表1 上传CA证书参数说明

         参数	说明	取值样例
         名称	支持修改。	ca-cert-xxxx
         内容	以文本编辑器（如Notepad++）打开签名证书PEM格式的文件，将证书内容复制到此处。 说明： 推荐使用强密码算法的证书，如RSA3072/4096。 RSA2048加密算法的证书存在风险，请慎用。	-----BEGIN CERTIFICATE----- 证书内容 -----END CERTIFICATE-----

      3. 单击确定。
      4. 在错误的客户端CA证书的操作列，单击“删除”。
      5. 在“删除CA证书”的弹窗中，单击确定。
   8. 下载新的客户端配置文件。
   9. 下载的客户端配置文件为“client_config.zip”。
   10. 解压缩“client_config.zip”至指定目录，如“D:\”目录下。

       解压缩后，可以得到“client_config.ovpn”和“client_config.conf”两个文件。

   11. 以记事本或Notepad++打开“client_config.ovpn”文件。
   12. 添加客户端证书及私钥。
       在<cert></cert>和<key></key>标记对内分别填写客户端证书、客户端证书私钥。

       <cert>
       -----BEGIN CERTIFICATE-----
       此处添加客户端证书
       -----END CERTIFICATE-----
       </cert>
       
       <key>
       -----BEGIN PRIVATE KEY-----
       此处添加客户端私钥
       -----END PRIVATE KEY-----
       </key>

   13. 保存ovpn配置文件。
   14. 打开OpenVPN客户端。
   15. 导入新的客户端配置文件。
   16. 使用客户端重新连接VPN网关。
2. 检查配置文件中的客户端证书和私钥是否匹配。

   如果步骤1中导入的客户端CA证书是正确的，表示配置文件中的客户端证书和私钥不匹配。请参考以下步骤，重新复制客户端证书和私钥到客户端配置文件中。

   1. 以记事本或Notepad++打开“client_config.ovpn”、“p2cclient.com.crt”和“p2cclient.com.key”文件。本示例中的客户端证书为“p2cclient.com.crt”，客户端私钥为“p2cclient.com.key”。
   2. 将客户端证书和私钥复制到“client_config.ovpn”文件中。

      在<cert></cert>和<key></key>标记对内分别填写客户端证书、客户端证书私钥。示例如下：

      <cert>
      -----BEGIN CERTIFICATE-----
      此处添加客户端证书
      -----END CERTIFICATE-----
      </cert>
      
      <key>
      -----BEGIN PRIVATE KEY-----
      此处添加客户端私钥
      -----END PRIVATE KEY-----
      </key>

   3. 保存ovpn配置文件。
   4. 打开OpenVPN客户端。
   5. 导入新的客户端配置文件。
   6. 使用客户端重新连接VPN网关。
   7. Windows系统，按Win+R，输入cmd，打开命令窗口。

      Linux系统，以root用户登录，打开命令行窗口。

   8. [/topic/body/section/ol/li/ol/li/styler {""}) 执行以下命令，验证连通性。 (styler]
      [/topic/body/section/ol/li/ol/li/p/ph/styler {""}) ping XX.XX.XX.XX (styler]

      

      XX.XX.XX.XX为想要连接的ECS私网IP，请根据实际替换。

      回显如下信息，表示网络已通。

      64 bytes from XX.XX.XX.XX: icmp_seq=1 ttl=63 time=1.27 ms
      64 bytes from XX.XX.XX.XX: icmp_seq=2 ttl=63 time=1.36 ms
      64 bytes from XX.XX.XX.XX: icmp_seq=3 ttl=63 time=1.40 ms
      64 bytes from XX.XX.XX.XX: icmp_seq=4 ttl=63 time=1.29 ms
      64 bytes from XX.XX.XX.XX: icmp_seq=5 ttl=63 time=1.35 ms
      64 bytes from XX.XX.XX.XX: icmp_seq=6 ttl=63 time=1.52 ms

Linux系统需要将“client_config.conf”配置文件用“Xftp”文件传输工具上传到Linux系统，替换原有配置文件。具体操作请参考配置客户端。

如果上述操作仍然无法解决客户端登录问题，请提交工单联系华为工程师。