PowerScale: Şifreli SyncIQ politikaları "sslv3 alert unsupported certificate" hatası ile başarısız oluyor
Summary: Şifrelenmiş SyncIQ politikaları, sslv3 uyarısı desteklenmeyen sertifika SSL hatasıyla hemen başarısız oluyor.
Symptoms
SyncIQ politikaları şu hata ile başarısız oluyor: sslv3 alert unsupported certificate hata mesajı. Bu durum, SyncIQ politikalarını SSL sertifikalarını kullanacak şekilde doğru şekilde yapılandırdıktan ve kaynak ve hedef kümelerde sertifikaların doğru imzalama zincirini içe aktardıktan sonra gerçekleşir.
Cause
SyncIQ şifrelemesi hem istemci hem de sunucu kimlik doğrulamasını kullanır.
Zincir sonu sertifikası certificate imported in server/peer store of SyncIQ yalnızca bir tür kimlik doğrulama kullanacak şekilde yapılandırılır. Bu işlem genellikle yalnızca sunucu kimlik doğrulamasıdır.
Kümeyi onaylamak ve kontrol etmek için:
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Beklenen hata:
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
Kümedeki sunucudan ve eş sertifika deposundan:
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Yukarıdaki komutların sonucu şudur: TLS Web Server Authentication yalnızca veya TLS Web Client Authentication sadece.
Doğru çıktı, her ikisini de bulmaktır TLS Web Server Authentication ve TLS Web Client Authentication.
Resolution
Zincir sonu sertifikasını yeniden oluşturma certificate imported in the server/peer store of SyncIQ Her iki kimlik doğrulama türünü de dahil etmek için.
Sertifika İmzalama İsteği (CSR) oluşturma bölümündeki dahili süreci uygulayın. Şunlardan emin olun: conf CSR oluşturmak için kullanılan dosya aşağıdakileri içerir:
extendedKeyUsage = serverAuth,clientAuth
Bu CSR dosyasını güvenlik gereksinimlerine göre imzalayın self-signed or CA signed.