Ich denke ich hab das Problem gefunden. Die Gegenseite (der etcd) auch ein passendes Zertifikat vorweist.
Kann man an der Stelle auch eigentlich erkennen:
Acceptable client certificate CA names
/CN=etcd-signer@1552553763
Aber damit bin ich dann glaube ich auch mit dem check_tcp am Ende. Mal sehen ob ich mir da ein eigenes Script baue …
Gruß
Frank