更新时间:2025-05-14 GMT+08:00
客户端日志显示“error=path length constraint exceeded”
适用的客户端
Windows OpenVPN GUI
故障现象
客户端无法正常连接终端入云VPN网关,日志中记录如下错误:
error=path length constraint exceeded
可能原因
客户端配置中的CA证书链长度超过了3个。
处理步骤
- 重新生成CA证书。如何生成CA证书,请参考通过Easy-RSA自签发证书(服务端和客户端共用CA证书)。
- 登录管理控制台。
- 在管理控制台左上角单击
图标,选择区域和项目。 - 在页面左上角单击
图标,选择。 - 在左侧导航栏,选择。
- 单击“终端入云VPN网关”进入“终端入云VPN网关”页面,单击目标VPN网关操作列的“查看服务端”。
- 上传CA证书。
- 在“服务端”界面,在“客户端认证类型”下拉选项中选择“证书认证 ”,单击“上传CA证书”。
- 根据界面提示填写相关信息。
表1 上传CA证书参数说明 参数
说明
取值样例
名称
支持修改。
ca-cert-xxxx
内容
以文本编辑器(如Notepad++)打开签名证书PEM格式的文件,将证书内容复制到此处。
说明:- 推荐使用强密码算法的证书,如RSA3072/4096。
- RSA2048加密算法的证书存在风险,请慎用。
-----BEGIN CERTIFICATE-----
证书内容
-----END CERTIFICATE-----
- 单击确定。
- 删除错误的CA证书。
- 在“服务端”界面,在错误的客户端CA证书的操作列,单击“删除”。
- 在“删除CA证书”的弹窗中,单击确定。
- 下载新的客户端配置文件。
下载的客户端配置文件为“client_config.zip”。
- 解压缩“client_config.zip”至指定目录,如“D:\”目录下。
解压缩后,可以得到“client_config.ovpn”和“client_config.conf”两个文件。
- 以记事本或Notepad++打开“client_config.ovpn”文件。
- 添加客户端证书及私钥。
在<cert></cert>和<key></key>标记对内分别填写客户端证书、客户端证书私钥。示例如下:
<cert> -----BEGIN CERTIFICATE----- 此处添加客户端证书 -----END CERTIFICATE----- </cert> <key> -----BEGIN PRIVATE KEY----- 此处添加客户端私钥 -----END PRIVATE KEY----- </key>
- 保存ovpn配置文件。
- 打开OpenVPN客户端。
- 导入新的客户端配置文件。
- 使用客户端重新连接VPN网关。
- 按Win+R,输入cmd,打开命令窗口。
- [/topic/body/section/ol/li/styler {""}) 执行以下命令,验证连通性。 (styler]
[/topic/body/section/ol/li/p/ph/styler {""}) ping XX.XX.XX.XX (styler]
XX.XX.XX.XX为想要连接的ECS私网IP,请根据实际替换。
回显如下信息,表示网络已通。
64 bytes from XX.XX.XX.XX: icmp_seq=1 ttl=63 time=1.27 ms 64 bytes from XX.XX.XX.XX: icmp_seq=2 ttl=63 time=1.36 ms 64 bytes from XX.XX.XX.XX: icmp_seq=3 ttl=63 time=1.40 ms 64 bytes from XX.XX.XX.XX: icmp_seq=4 ttl=63 time=1.29 ms 64 bytes from XX.XX.XX.XX: icmp_seq=5 ttl=63 time=1.35 ms 64 bytes from XX.XX.XX.XX: icmp_seq=6 ttl=63 time=1.52 ms
如果上述操作仍然无法解决客户端登录问题,请提交工单联系华为工程师。
父主题: 客户端连接失败
