PowerScale: Зашифровані політики SyncIQ не працюють із "sslv3 alert unsupported certificate"
Summary: Зашифровані політики SyncIQ одразу не виходять з ладу через SSL-помилку SSL сповіщення про sslv3 alert не підтримуваний.
Symptoms
Політики SyncIQ не працюють з sslv3 alert unsupported certificate Повідомлення про помилку. Це відбувається після правильної конфігурації політик SyncIQ для використання SSL-сертифікатів і після імпорту правильного ланцюга підписань сертифікатів у вихідний і цільовий кластери.
Cause
Шифрування SyncIQ використовує як автентифікацію клієнта, так і сервер.
Сертифікат завершення ланцюга certificate imported in server/peer store of SyncIQ налаштований лише на використання одного типу автентифікації. Зазвичай це лише автентифікація сервера.
Щоб підтвердити та перевірити кластер:
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Очікувана помилка:
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
Зі сховища сертифікатів сервера та однорангового сховища кластера:
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Результатом наведених вище команд є бачити TLS Web Server Authentication лише або TLS Web Client Authentication тільки.
Правильний вихід — знайти обидва TLS Web Server Authentication і TLS Web Client Authentication.
Resolution
Відновити сертифікат кінця ланцюга certificate imported in the server/peer store of SyncIQ щоб включити обидва типи автентифікації.
Дотримуйтесь внутрішнього процесу генерації запиту на підписання сертифікатів (CSR). Переконайтеся, що conf файл, який використовується для генерації CSR, містить наступне:
extendedKeyUsage = serverAuth,clientAuth
Підпишіть цей CSR-файл відповідно до вимог безпеки self-signed or CA signed.