PowerScale: Zašifrované zásady SyncIQ selhávají s chybou „sslv3 alert unsupported certificate“

Summary: Šifrované zásady SyncIQ okamžitě selžou s výstrahou sslv3 unsupported certificate SSL error.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Zásady SyncIQ selhávají s chybou sslv3 alert unsupported certificate . K tomu dochází po správné konfiguraci zásad SyncIQ tak, aby používaly certifikáty SSL, a po importu správného podpisového řetězce certifikátů ve zdrojovém a cílovém clusteru.

Cause

Šifrování SyncIQ používá ověření klienta i serveru. 

Certifikát konce řetězu certificate imported in server/peer store of SyncIQ Program je nakonfigurován tak, aby používal pouze jeden typ ověřování. Obvykle se jedná pouze o ověřování serveru.

Potvrzení a kontrola clusteru:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Očekávaná chyba:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Ze serveru a úložiště partnerských certifikátů v clusteru:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Výsledkem výše uvedených příkazů je zobrazení TLS Web Server Authentication pouze nebo TLS Web Client Authentication pouze.

Správný výstup je najít obojí TLS Web Server AuthenticationTLS Web Client Authentication.

Resolution

Opětovné vygenerování certifikátu konce řetězce certificate imported in the server/peer store of SyncIQ , aby zahrnuly oba typy ověřování.

Postupujte podle interního procesu při generování žádosti o podpis certifikátu (CSR). Ujistěte se, že conf soubor použitý k vygenerování CSR obsahuje následující:

extendedKeyUsage = serverAuth,clientAuth


Podepište tento soubor CSR v souladu s bezpečnostními požadavky. self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.