PowerFlex: Fehler "Zertifikate entsprechen nicht der Algorithmuseinschränkung" beim Versuch, das System bei Secure Remote Services (SRS) zu registrieren

Summary: Das PowerFlex-System kann nicht mithilfe der "FOSGWTool.sh" des IM-Gateways bei Secure Remote Services registriert werden.

Affected Products

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

Dieses Problem kann auftreten, wenn das IM-Gatewayzertifikat nicht selbstsigniert, sondern von einer Zertifizierungsstelle eines Drittanbieters signiert ist. Die CA-Zertifikate sind gemäß der PowerFlex-Dokumentation bereits in den Truststore des IM-Gateways importiert.

Problem

Der Secure Remote Services-Registrierungsversuch löst den folgenden Fehler aus:

# /opt/emc/scaleio/gateway/bin/FOSGWTool.sh --register_esrs_gateway --scaleio_gateway_ip $gw_ip --scaleio_gateway_user admin --scaleio_gateway_password $gw_pass --esrs_gateway_ip $esrs_hostname --connect_in_ip $gw_ip --esrs_gateway_user $esrs_user --esrs_gateway_password <PASSWORD>
 Exception in thread "main" org.springframework.web.client.ResourceAccessException: I/O error on GET request for "https://10.10.10.11/api/gatewayLogin": java.security.cert.CertificateException: Certificates do not conform to algorithm constraints; nested exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: Certificates do not conform to algorithm constraints
 at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:525)
 at org.springframework.web.client.RestTemplate.execute(RestTemplate.java:473)
 at org.springframework.web.client.RestTemplate.exchange(RestTemplate.java:421)
 at com.emc.s3g.scaleio.installation.cli.SioGWTool.loginToRestGateway(SioGWTool.java:2563)
 at com.emc.s3g.scaleio.installation.cli.SioGWTool.main(SioGWTool.java:1754)
 Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: Certificates do not conform to algorithm constraints
        at sun.security.ssl.Alert.createSSLException(Alert.java:131)
        at sun.security.ssl.TransportContext.fatal(TransportContext.java:370)
        at sun.security.ssl.TransportContext.fatal(TransportContext.java:313)
        at sun.security.ssl.TransportContext.fatal(TransportContext.java:308)
        at sun.security.ssl.CertificateMessage$T12CertificateConsumer.checkServerCerts(CertificateMessage.java:652)
        at sun.security.ssl.CertificateMessage$T12CertificateConsumer.onCertificate(CertificateMessage.java:471)
        at sun.security.ssl.CertificateMessage$T12CertificateConsumer.consume(CertificateMessage.java:367)
        at sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:376)
        at sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:479)
        at sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:457)
        at sun.security.ssl.TransportContext.dispatch(TransportContext.java:200)
        at sun.security.ssl.SSLTransport.decode(SSLTransport.java:154)
        at sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1290)
        at sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1199)
        at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:401)
        at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:373)
        at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:587)
        at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:197)
        at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:167)
        at org.springframework.http.client.SimpleBufferingClientHttpRequest.executeInternal(SimpleBufferingClientHttpRequest.java:76)
        at org.springframework.http.client.AbstractBufferingClientHttpRequest.executeInternal(AbstractBufferingClientHttpRequest.java:48)
        at org.springframework.http.client.AbstractClientHttpRequest.execute(AbstractClientHttpRequest.java:49)
        at org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:510)
        ... 4 more
Caused by: java.security.cert.CertificateException: Certificates do not conform to algorithm constraints
        at sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1387)
        at sun.security.ssl.AbstractTrustManagerWrapper.checkAdditionalTrust(SSLContextImpl.java:1312)
        at sun.security.ssl.AbstractTrustManagerWrapper.checkServerTrusted(SSLContextImpl.java:1256)
        at sun.security.ssl.CertificateMessage$T12CertificateConsumer.checkServerCerts(CertificateMessage.java:636)
        ... 22 more
Caused by: java.security.cert.CertPathValidatorException: Algorithm constraints check failed on signature algorithm: SHA1withRSA                             < =============================== this is an issue
        at sun.security.provider.certpath.AlgorithmChecker.check(AlgorithmChecker.java:237)
        at sun.security.ssl.AbstractTrustManagerWrapper.checkAlgorithmConstraints(SSLContextImpl.java:1383)
        ... 25 more

Auswirkungen

Das PowerFlex-System kann nicht bei Secure Remote Services registriert werden.

Cause

Das IM-Gatewayzertifikat wurde von einem alten CA-Zertifikat signiert, das SHA1 als Signatur-Hash-Algorithmus verwendet. Standardmäßig lässt Java aufgrund potenzieller Sicherheitsprobleme nicht zu, dass SHA1 und einige andere ältere Algorithmen im Zertifikatpfad verwendet werden.

PowerFlex-CA-Zertifikat

Resolution

Als Problemumgehung kann Java so konfiguriert werden, dass es vorübergehend alte Arten von Hashing-Algorithmen akzeptiert - bearbeiten Sie die java.security-Datei und kommentieren Sie die Zeilen aus, die dem Eintrag "jdk.certpath.disabledAlgorithms" entsprechen:

#
jdk.certpath.disabledAlgorithms=MD2, MD5, SHA1 jdkCA & usage TLSServer, \
    RSA keySize < 1024, DSA keySize < 1024, EC keySize < 224

Für eine dauerhafte Lösung signieren Sie das IM-Gateway-Zertifikat mit modernen und sicheren Hashing-Algorithmen bei der Zertifizierungsstelle.

Affected Products

PowerFlex rack, PowerFlex Software, VxFlex Product Family, VxFlex Ready Node, Ready Node Series

Article Number: 000193823

Article Type: Solution

Last Modified: 13 Nov 2025

Version: 4

Check if your device is covered by Support Services.

PowerFlex: Fehler "Zertifikate entsprechen nicht der Algorithmuseinschränkung" beim Versuch, das System bei Secure Remote Services (SRS) zu registrieren

Summary: Das PowerFlex-System kann nicht mithilfe der "FOSGWTool.sh" des IM-Gateways bei Secure Remote Services registriert werden.

Symptoms

Cause

Resolution

Affected Products

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services

PowerFlex: Fehler "Zertifikate entsprechen nicht der Algorithmuseinschränkung" beim Versuch, das System bei Secure Remote Services (SRS) zu registrieren

Summary: Das PowerFlex-System kann nicht mithilfe der "FOSGWTool.sh" des IM-Gateways bei Secure Remote Services registriert werden.

Detailed Article

Symptoms

Cause

Resolution

Affected Products

Symptoms

Cause

Resolution

Affected Products

Article Properties

Find answers to your questions from other Dell users

Support Services

Article Properties

Find answers to your questions from other Dell users

Support Services