PowerScale: As políticas criptografadas do SyncIQ falham com "sslv3 alert unsupported certificate"

Summary: As políticas criptografadas do SyncIQ falham imediatamente com o erro SSL de certificado incompatível com alerta sslv3.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

As políticas do SyncIQ falham com sslv3 alert unsupported certificate . Isso ocorre depois de configurar corretamente as políticas do SyncIQ para usar certificados SSL e depois de importar a cadeia de assinatura correta de certificados nos clusters de origem e destino.

Cause

A criptografia do SyncIQ está usando autenticação de client e servidor. 

O certificado de fim da cadeia certificate imported in server/peer store of SyncIQ é configurado apenas para usar um tipo de autenticação. Normalmente, é apenas autenticação de servidor.

Para confirmar e verificar o cluster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Erro esperado:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

No armazenamento de certificados do servidor e do par no cluster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


O resultado dos comandos acima é ver TLS Web Server Authentication apenas ou TLS Web Client Authentication somente.

A saída correta é encontrar ambos TLS Web Server AuthenticationTLS Web Client Authentication.

Resolution

Gerar novamente o certificado de fim de cadeia certificate imported in the server/peer store of SyncIQ para incluir os dois tipos de autenticação.

Siga o processo interno ao gerar a solicitação de assinatura de certificado (CSR). Certifique-se de que o conf arquivo usado para gerar a CSR contém o seguinte:

extendedKeyUsage = serverAuth,clientAuth


Assine este arquivo CSR de acordo com o requisito de segurança self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.