Gecodeerd SyncIQ-beleid mislukt met "sslv3 alert unsupported certificate"

Summary: Gecodeerd SyncIQ-beleid mislukt onmiddellijk met SSL-fout "sslv3 alert unsupported certificate"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Nadat u SyncIQ-policy's correct hebt geconfigureerd voor het gebruik van SSL-certificaten en na het importeren van de juiste ondertekeningsketen van certificaten aan zowel de bron- als de doelzijde.

Beleid begint te mislukken met de foutmelding "sslv3 alert unsupported certificate"

Cause

Versleuteling in SyncIQ maakt gebruik van zowel client- als serverauthenticatie. 

Het end-of-chain certificaat "certificate imported in server/peer store of SyncIQ" is alleen geconfigureerd voor gebruik van één type authenticatie "Meestal is het alleen serverauthenticatie"

Om te bevestigen en controleren:

a) uit isi_migrate.logs:

Op cluster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sortering | tail -5

In logs:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sortering | tail -5 


Verwachte fout:
---------------------
TTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: typ: 22 (policynaam: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy kan geen versleutelde verbinding maken met het doel. Er is een SSL-handshake-fout opgetreden bij het tot stand brengen van een versleutelde verbinding met het doelcluster. Bekijk de logboeken op de bron en het doel voor meer informatie. SSL-foutreeks: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) van server/peer certificaatarchief

op cluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

in logs:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Het resultaat van de bovenstaande opdrachten is alleen 'TLS-webserverauthenticatie' te zien of alleen 'TLS Web Client Authentication'.

De juiste uitvoer is om zowel 'TLS-webserververificatie' als'TLS-webclientverificatie' te vinden

Resolution

De klant moet het end-of-chain certificaat "certificate imported in server/peer store of SyncIQ" opnieuw genereren om beide typen authenticatie op te nemen.

Om dit te doen, moet de klant zijn interne proces volgen bij het genereren van de "CSR"-aanvraag voor certificaatondertekening" en ervoor zorgen dat het conf-bestand dat wordt gebruikt om de CSR te genereren het volgende bevat:
 

extendedKeyUsage = serverAuth, clientAuthh
 
Later kan de klant dit CSR-bestand ondertekenen volgens zijn beveiligingsvereiste "zelfondertekend of ca-ondertekend"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.