更新时间:2025-05-14 GMT+08:00
客户端日志显示“error=unable to get issuer certificate: ”
适用的客户端
Windows OpenVPN GUI
故障现象
客户端连接时无法正常连接终端入云VPN网关。客户端日志中记录如下错误:
error=unable to get issuer certificate:
可能原因
服务端证书自带的证书链不完整,证书的颁发者和使用者未能形成完整的上下级关系,导致客户端无法认证配置文件中CA证书的有效性。
处理步骤
- 以记事本或Notepad++打开“client_config.ovpn”文件。
- 查看客户端配置文件中的CA证书数量。
- 双击打开所有配置文件中的CA证书,单击“证书路径”,查看证书的颁发者和使用者是否能形成完整的上下级关系。
- 如果最上级证书的颁发者和使用者是同一个,说明证书链完整,完整的证书链如图 完整的CA证书链。
- 如果最上级证书的颁发者和使用者不是同一个,说明证书链不完整,请参考以下步骤补充证书链信息。
- 新建一个空白的记事本文件。
- 将“client_config.ovpn”中的CA证书内容复制粘贴到新的记事本文件中。证书内容如下:
<ca> -----BEGIN CERTIFICATE----- CA证书 -----END CERTIFICATE----- </ca>
- 保存新文件,并命名为“ca.crt”。
- 导出当前使用的CA证书的上级证书。
- 双击CA证书,单击“证书路径”,可以看到该证书的上级证书。
- 选择上级证书,单击“查看证书”,会弹出上级证书的新窗口。
- 在“详细信息”页签中,单击“复制到文件”。
- 单击“下一步”。
- 选择“Base64编码”,单击“下一步”。
- 输入文件名,如“root-ca.cer”。
- 选择。
如果配置文件中的CA证书有两个,需要将两个CA证书的上级证书都导出。
- 将“root-ca.cer”上级证书的内容复制到客户端配置文件中。
- 以记事本或Notepad++打开“root-ca.cer”和“client_config.ovpn”文件。
- 将上级证书内容复制粘贴到“client_config.ovpn”文件中的已有CA证书下面。
证书内容格式如下:
-----BEGIN CERTIFICATE----- 已有CA证书 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 上级CA证书 -----END CERTIFICATE-----
- 保存ovpn配置文件。
- 打开OpenVPN客户端。
- 导入新的客户端配置文件。
- 使用客户端重新连接VPN网关。
- 按Win+R,输入cmd,打开命令窗口。
- [/topic/body/section/ol/li/ol/li/styler {""}) 执行以下命令,验证连通性。 (styler]
[/topic/body/section/ol/li/ol/li/p/ph/styler {""}) ping XX.XX.XX.XX (styler]
XX.XX.XX.XX为想要连接的ECS私网IP,请根据实际替换。
回显如下信息,表示网络已通。
64 bytes from XX.XX.XX.XX: icmp_seq=1 ttl=63 time=1.27 ms 64 bytes from XX.XX.XX.XX: icmp_seq=2 ttl=63 time=1.36 ms 64 bytes from XX.XX.XX.XX: icmp_seq=3 ttl=63 time=1.40 ms 64 bytes from XX.XX.XX.XX: icmp_seq=4 ttl=63 time=1.29 ms 64 bytes from XX.XX.XX.XX: icmp_seq=5 ttl=63 time=1.35 ms 64 bytes from XX.XX.XX.XX: icmp_seq=6 ttl=63 time=1.52 ms
如果上述操作仍然无法解决客户端登录问题,请提交工单联系华为工程师。
父主题: 客户端连接失败
