PowerScale: Versleuteld SyncIQ-beleid mislukt met "sslv3 alert unsupported certificate"
Summary: Versleuteld SyncIQ-beleid mislukt onmiddellijk met SSL-fout met sslv3-waarschuwing niet-ondersteund certificaat.
Symptoms
SyncIQ-beleid mislukt met sslv3 alert unsupported certificate foutmelding. Dit gebeurt na het correct configureren van SyncIQ-beleid voor het gebruik van SSL-certificaten en na het importeren van de juiste ondertekeningsketen van certificaten op de bron- en doelclusters.
Cause
SyncIQ-versleuteling maakt gebruik van zowel client- als serverauthenticatie.
Het einde van de keten certificaat certificate imported in server/peer store of SyncIQ is slechts geconfigureerd om één type authenticatie te gebruiken. Meestal is het alleen serverauthenticatie.
U kunt het cluster als volgt bevestigen en controleren :
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Verwachte fout:
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
Vanuit het server- en peercertificaatarchief op het cluster:
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Het resultaat van de bovenstaande opdrachten is om te zien TLS Web Server Authentication alleen of TLS Web Client Authentication alleen.
De juiste uitvoer is om beide te vinden TLS Web Server Authentication als TLS Web Client Authentication.
Resolution
Het certificaat voor het einde van de keten opnieuw genereren certificate imported in the server/peer store of SyncIQ om beide typen authenticatie op te nemen.
Volg het interne proces voor het genereren van de CSR (Certificate Signing Request). Zorg ervoor dat de conf Het bestand dat wordt gebruikt om de CSR te genereren, bevat het volgende:
extendedKeyUsage = serverAuth,clientAuth
Onderteken dit CSR-bestand volgens de beveiligingsvereisten self-signed or CA signed.