PowerScale：暗号化されたSyncIQポリシーが「sslv3 alert unsupported certificate」で失敗する

SyncIQポリシーが次のエラーで失敗する sslv3 alert unsupported certificate エラー メッセージの解決法」を参照してください。これは、SSL証明書を使用するようにSyncIQポリシーを正しく構成した後、およびソース クラスターとターゲット クラスターに証明書の正しい署名チェーンをインポートした後に発生します。

SyncIQ暗号化では、クライアント認証とサーバー認証の両方を使用しています。

チェーン証明書の終焉 certificate imported in server/peer store of SyncIQ は、1 種類の認証のみを使用するように構成されています。通常は、サーバー認証のみです。

クラスターを確認して確認するには 、次の手順を実行します。

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

予期されるエラー:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

サーバーおよびクラスター上のピア証明書ストアから、次の手順を実行します。

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

上記のコマンドの結果は、 TLS Web Server Authentication only または TLS Web Client Authentication only.

正しい出力は、両方を見つけることです TLS Web Server Authentication と TLS Web Client Authenticationの詳細を確認してください。

チェーン末端証明書の再生成 certificate imported in the server/peer store of SyncIQ を使用して、両方のタイプの認証を含めます。

内部プロセスに従って証明書署名要求(CSR)を生成します。次のことを確認します。 conf CSRの生成に使用されるファイルには、次のものが含まれています。

extendedKeyUsage = serverAuth,clientAuth

セキュリティ要件に従って、このCSRファイルに署名します self-signed or CA signedの詳細を確認してください。