PowerScale: Las políticas encriptadas de SyncIQ fallan con "sslv3 alert unsupported certificate"

Summary: Las políticas cifradas de SyncIQ fallan de inmediato con el error SSL de certificado no compatible con alertas sslv3.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Las políticas de SyncIQ fallan con sslv3 alert unsupported certificate mensaje de error. Esto ocurre después de configurar correctamente las políticas de SyncIQ para usar certificados SSL y después de importar la cadena de firma de certificados correcta en los clústeres de origen y destino.

Cause

El cifrado de SyncIQ utiliza la autenticación de cliente y servidor. 

El certificado de fin de cadena certificate imported in server/peer store of SyncIQ solo está configurado para usar un tipo de autenticación. Por lo general, se trata únicamente de la autenticación del servidor.

Para confirmar y comprobar el clúster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Error esperado:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Desde el almacén de certificados del par y del servidor en el clúster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


El resultado de los comandos anteriores es ver TLS Web Server Authentication solo o TLS Web Client Authentication solamente.

El resultado correcto es encontrar ambos TLS Web Server AuthenticationTLS Web Client Authentication.

Resolution

Volver a generar el certificado de fin de cadena certificate imported in the server/peer store of SyncIQ para incluir ambos tipos de autenticación.

Seguir el proceso interno para generar la solicitud de firma de certificado (CSR). Asegúrese de que el conf utilizado para generar la CSR contiene lo siguiente:

extendedKeyUsage = serverAuth,clientAuth


Firmar este archivo CSR según el requisito de seguridad self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.