PowerScale: Le policy SyncIQ crittografate hanno esito negativo con "sslv3 alert unsupported certificate"

Summary: Le policy SyncIQ crittografate hanno immediatamente esito negativo con avviso sslv3 errore SSL certificato non supportato.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Le policy SyncIQ hanno esito negativo con sslv3 alert unsupported certificate software. Ciò si verifica dopo aver configurato correttamente le policy SyncIQ per l'utilizzo dei certificati SSL e dopo aver importato la catena di firma corretta dei certificati nei cluster di origine e di destinazione.

Cause

La crittografia SyncIQ utilizza sia l'autenticazione client sia l'autenticazione server. 

Certificato di fine catena certificate imported in server/peer store of SyncIQ è configurato per utilizzare un solo tipo di autenticazione. In genere, si tratta solo di autenticazione server.

Per confermare e controllare il cluster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Errore previsto:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Dal server e dall'archivio certificati peer nel cluster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Il risultato dei comandi precedenti è quello di vedere TLS Web Server Authentication solo o TLS Web Client Authentication soltanto.

L'output corretto consiste nel trovare entrambi TLS Web Server AuthenticationTLS Web Client Authentication.

Resolution

Rigenerazione del certificato di fine catena certificate imported in the server/peer store of SyncIQ per includere entrambi i tipi di autenticazione.

Seguire il processo interno per generare la richiesta di firma del certificato (CSR). Assicurarsi che il conf utilizzato per generare la CSR contiene quanto segue:

extendedKeyUsage = serverAuth,clientAuth


Firmare questo file CSR in base ai requisiti di sicurezza self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.