Las políticas encriptadas de SyncIQ fallan con "sslv3 alert unsupported certificate"

Summary: Las políticas encriptadas de SyncIQ fallan inmediatamente con el error SSL "sslv3 alert unsupported certificate"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Después de configurar correctamente las políticas de SyncIQ para utilizar certificados SSL y después de importar la cadena de firma correcta de los certificados tanto en el lado de origen como en el de destino.

Las políticas comienzan a fallar con el error "sslv3 alert unsupported certificate"

Cause

Cifrado en SyncIQ utiliza autenticación de cliente y servidor. 

El certificado de fin de cadena "certificado importado en el almacén de pares/servidor de SyncIQ" solo está configurado para utilizar un tipo de autenticación "Normalmente, será solo autenticación de servidor"

Para confirmar y comprobar:

a) desde isi_migrate.logs:

en el clúster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

En los registros:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Error esperado:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (nombre de la política: xxxxxxxxxx target: xxxxxxxxxx) La política de SyncIQ no pudo establecer una conexión cifrada con el objetivo. Se produjo un error en la conexión SSL al establecer una conexión cifrada con el clúster de destino. Consulte los registros en el origen y el destino para obtener más detalles. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Objetivo: xxxxxxxxxx


b) desde el almacén de certificados de servidores/pares 

En el clúster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

En los registros:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

El resultado de los comandos anteriores es ver solo "Autenticación del servidor web TLS" o solo "Autenticación del cliente web TLS".

El resultado correcto es encontrar tanto "TLS Web Server Authentication"  como "TLS Web Client Authentication"

Resolution

El cliente tendrá que volver a generar el certificado de fin de cadena "certificado importado en el almacén de servidores/pares de SyncIQ" para incluir ambos tipos de autenticación.

Para ello, el cliente deberá seguir su proceso interno de generación de la Solicitud de firma de certificado "CSR" asegurándose de que el archivo conf utilizado para generar la CSR contenga lo siguiente:
 

extendedKeyUsage = serverAuth,clientAuth
 
Posteriormente, el cliente puede firmar este archivo CSR según sus requisitos de seguridad "autofirmado o firmado por la CA"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.