Krypterede SyncIQ-politikker mislykkes med "sslv3-advarsel ikke-understøttet certifikat"

Summary: Krypterede SyncIQ-politikker mislykkes straks med SSL-fejlen "sslv3-advarsel ikke-understøttet certifikat"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Efter korrekt konfiguration af SyncIQ-politikker til at bruge SSL-certifikater og efter import af den korrekte certifikatsigneringskæde på både kilde- og destinationssiden.

Politikkerne begynder at mislykkes med fejlen "sslv3-advarsel ikke-understøttet certifikat"

Cause

Kryptering i SyncIQ anvender både klient- og servergodkendelse. 

Slutningen af kædecertifikatet "importeret i server-/peer-lageret i SyncIQ" er kun konfigureret til at bruge én type godkendelse "Det vil typisk kun være servergodkendelse"

For at bekræfte og kontrollere:

a) fra isi_migrate.logs:

På klynge:
--------------
# isi_for_array -sQ " grep "Der opstod en SSL-handshake-fejl under oprettelse" /var/log/isi_migrate.log | grep coord | sort | ende -5

On Logs:
------------
$ grep -h "Der opstod en SSL-handshake-fejl under oprettelsen" */varlog.tar/log/isi_migrate.log | grep coord | sort |-ende -5 


Forventet fejl:
---------------------
TTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord [xxxxxxxxxx:TTTTTTTTT]: siq_create_alert_internal: type: type: 22 (politiknavn: xxxxxxxxxxx target: xxxxxxxxxx) SyncIQ-politik kunne ikke oprette en krypteret forbindelse med destinationen. Der opstod en SSL-handshake-fejl under oprettelse af en krypteret forbindelse til destinationsklyngen. Se logfilerne på kilden og destinationen for at få flere oplysninger. SSL-fejlstreng: fejl:14094413:SSL-rutiner:ssl3_read_bytes:sslv3-advarsel ikke-understøttet certifikat [ISI_TLS_ERROR_HANDSHAKE],mål: xxxxxxxxxx


b) fra server-/peer-certifikatlager

På klynge:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

På logfiler:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Resultatet af ovenstående kommandoer er kun at se "TLS-webservergodkendelse" eller "TLS-webklientgodkendelse".

Det korrekte output er at finde både "TLS-webservergodkendelse" og "TLS-webklientgodkendelse"

Resolution

Kunden skal generere certifikatet for slutningen af kæden igen "certifikat importeret i server/peer-lager af SyncIQ" for at inkludere begge typer godkendelse.

For at gøre det skal kunden følge sin interne proces med at generere certifikatsigneringsanmodningen "CSR", samtidig med at den conf-fil, der bruges til at generere CSR, indeholder følgende:
 

extendedKeyUsage = serverAuth,clientAuth
 
Senere kan kunden underskrive denne CSR-fil i henhold til sikkerhedskravet "selvsigneret eller CA-signeret"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.