Krypterte SyncIQ-policyer mislykkes med «sslv3 alert unsupported certificate»

Summary: Krypterte SyncIQ-policyer mislykkes umiddelbart med SSL-feilen «sslv3 alert unsupported certificate»

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Etter riktig konfigurering av SyncIQ-policyer til å bruke SSL-sertifikater og etter at du har importert riktig signeringskjede av sertifikater på både kilden og målsiden.

Policyer begynner å mislykkes med feilen «sslv3 alert unsupported certificate» (SSLV3-varselet støttes ikke)

Cause

Kryptering i SyncIQ bruker både klient- og servergodkjenning. 

End of chain certificate "certificate imported in server/peer store of SyncIQ" is only configured to use one type of authentication "Typically it will be server authentication only"

To confirm and check:

a) from isi_migrate.logs:

On cluster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sortere | topp -5

på logger:
------------
$ grep -h "En SSL håndtrykkfeil oppstod under etablering" */varlog.tar/log/isi_migrate.log | grep coord | sortere | topp -5 


Forventet feil:
---------------------
TTTTTTTTTTTTTTTT< 3.3> xxxxxxxxxx-4 (id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policynavn: xxxxxxxxxx mål: xxxxxxxxxx) SyncIQ-policyen kunne ikke opprette en kryptert tilkobling med målet. Det oppsto en feil med SSL-håndtrykk under oppretting av en kryptert tilkobling til målklyngen. Se loggene på kilden og målet for mer informasjon. SSL-feilstreng: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) fra server-/motpartssertifikatlager på

klynge:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

På logger:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Resultatet av kommandoene ovenfor er bare å se TLS Web Server Authentication eller TLS Web Client Authentication.

Riktig utdata er å finne både TLS Web Server Authentication og TLS Web Client Authentication

Resolution

Kunden må generere sluttsertifikatet "sertifikat importert i server-/nodelageret til SyncIQ" på nytt for å inkludere begge typer autentisering.

For å gjøre dette må kunden følge sin interne prosess for å generere sertifikat signeringsforespørselen "CSR" samtidig som han sørger for at konfigurasjonsfilen som brukes til å generere CSR, inneholder følgende:
 

extendedKeyUsage = serverAuth, clientAuth
 
Senere kan kunden signere denne CSR-filen i henhold til sikkerhetskravet «selvsignert eller CA signert»

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.