Krypterade SyncIQ-principer misslyckas med meddelandet "sslv3 alert unsupported certificate"

Summary: Krypterade SyncIQ-principer misslyckas omedelbart med SSL-felet "sslv3 alert unsupported certificate"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

När du har konfigurerat SyncIQ-principer korrekt att använda SSL-certifikat och efter att ha importerat rätt signeringskedja för certifikat på både käll- och målsidan.

Policyer börjar misslyckas med felmeddelandet "sslv3 alert unsupported certificate"

Cause

Kryptering i SyncIQ använder både klient- och serverautentisering. 

Slutkedjecertifikatet "certificate imported in server/peer store of SyncIQ" är endast konfigurerat för att använda en typ av autentisering "Typically it will be server authentication only"

Bekräfta och kontrollera:

a) från isi_migrate.logs:

I klustret:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord' | sortera | tail -5

On Logs:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Förväntat fel:
---------------------
TTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTT]: siq_create_alert_internal: type: 22 (policynamn: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ-policyn kunde inte upprätta en krypterad anslutning till målet. Ett SSL-handskakningsfel inträffade vid upprättande av en krypterad anslutning till målklustret. Läs loggarna från källan och målet om du vill ha mer information. SSL-felsträng: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) från arkivet för server/peer-certifikat

I kluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage "

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

I loggar:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local//ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Resultatet av kommandona ovan är att endast visa "TLS Web Server Authentication" eller "TLS Web Client Authentication".

Rätt utdata är att hitta både "TLS Web Server Authentication" och "TLS Web Client Authentication"

Resolution

Kunden måste generera om slutkedjecertifikatet "certifikat som importerats i server-/peer-arkiv för SyncIQ" för att inkludera båda typerna av autentisering.

För att kunna göra det måste kunden följa sin interna process för att generera CSR-begäran för certifikatsignering samtidigt som du ser till att konfigurationsfilen som används för att generera CSR innehåller följande:
 

extendedKeyUsage = serverAuth, clientAuth
 
Senare kan kunden signera den här CSR-filen enligt sitt säkerhetskrav "självsignerad eller CA-signerad"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.