Zašifrované zásady SyncIQ selhávají s chybou „sslv3 alert unsupported certificate“

Summary: Zašifrované zásady SyncIQ okamžitě selžou a zobrazí se chyba SSL „sslv3 alert unsupported certificate“

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Po správné konfiguraci zásad SyncIQ pro použití certifikátů SSL a po importu správného podpisového řetězce certifikátů na zdrojové i cílové straně.

Zásady začnou selhávat s chybou „sslv3 alert unsupported certificate“.

Cause

Šifrování v aplikaci SyncIQ využívá ověřování klienta i serveru. 

Konec řetězu certifikátu „certificate imported in server/peer store of SyncIQ“ je nakonfigurován pouze na použití jednoho typu ověřování. Obvykle se jedná pouze o ověřování serveru.

Potvrzení a kontrola:

a) Ze souboru isi_migrate.logs:

Na clusteru:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

V protokolech:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Očekávaná chyba:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) Z úložiště certifikátů serveru/partnerského zařízení.

Na clusteru:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

V protokolech:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Výsledkem příkazů by mělo být, že uvidíte pouze „TLS Web Server Authentication“ nebo „TLS Web Client Authentication“.

Správně byste ve výstupu měli vidět „TLS Web Server Authentication“„TLS Web Client Authentication“.

Resolution

Aby zákazník mohl zahrnout oba typy ověřování, bude muset znovu vygenerovat certifikát na konci řetězu „certificate imported in server/peer store of SyncIQ“.

Aby to mohl zákazník provést, musí při generování požadavku na podepisování certifikátu „CSR“ postupovat podle svého interního procesu a zároveň zajistit, aby soubor conf používaný k vygenerování CSR obsahoval následující:
 

extendedKeyUsage = serverAuth,clientAuth
 
Později může zákazník tento soubor CSR podepsat podle svých požadavků na zabezpečení – podepsaný držitelem nebo podepsaný certifikační autoritou.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.