Verschlüsselte SyncIQ-Policies schlagen mit „sslv3 alert unsupported certificate“ fehl

Summary: Verschlüsselte SyncIQ-Policies schlagen sofort mit dem SSL-Fehler „sslv3 alert unsupported certificate“ fehl.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Nach der korrekten Konfiguration von SyncIQ-Policies für die Verwendung von SSL-Zertifikaten und nach dem Importieren der richtigen Signaturkette von Zertifikaten sowohl auf der Quell- als auch auf der Zielseite:

Richtlinien schlagen mit dem Fehler „sslv3 alert unsupported certificate“ fehl.

Cause

Die Verschlüsselung in SyncIQ verwendet Client- und Serverauthentifizierung. 

Das End-of-chain-Zertifikat „certificate imported in server/peer store of SyncIQ“ ist nur für die Verwendung eines Authentifizierungstyps konfiguriert. „In der Regel ist dies nur die Serverauthentifizierung“.

So bestätigen und überprüfen Sie dies:

a) über isi_migrate.logs:

Auf dem Cluster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

In den Protokollen:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Erwarteter Fehler:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (Policy-Name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ-Policy konnte keine verschlüsselte Verbindung zum Ziel herstellen. Beim Herstellen einer verschlüsselten Verbindung zum Zielcluster ist ein SSL-Handshake-Fehler aufgetreten. Weitere Informationen finden Sie in den Protokollen der Quelle und des Ziels. SSL-Fehler-String: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) aus dem Server-/Peer-Zertifikatspeicher 

Auf dem Cluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

In den Protokollen:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Das Ergebnis der obigen Befehle ist, dass nur „TLS Web Server Authentication“ oder „TLS Web Client Authentication“ angezeigt wird.

Die richtige Ausgabe enthält sowohl „TLS Web Server Authentication“ als auch „TLS Web Client Authentication“.

Resolution

Der Kunde muss das End-of-chain-Zertifikat „certificate imported in server/peer store of SyncIQ“ neu generieren, um beide Authentifizierungstypen einzubeziehen.

Um dies zu erreichen, muss der Kunde seinen internen Prozess beim Erzeugen der Zertifikatsignierungsanforderung (CSR) befolgen und gleichzeitig sicherstellen, dass die conf-Datei, die zum Erzeugen der CSR verwendet wird, Folgendes enthält:
 

extendedKeyUsage = serverAuth,clientAuth
 
Später kann der Kunde diese CSR-Datei gemäß seiner Sicherheitsanforderung „selbstsigniert oder CA-signiert“ unterzeichnen.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.