Salatut SyncIQ-käytännöt epäonnistuvat virheen "sslv3 alert unsupported certificate" vuoksi

Summary: Salatut SyncIQ-käytännöt epäonnistuvat välittömästi SSL-virheen "sslv3 alert unsupported certificate" vuoksi

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Kun SyncIQ-käytännöt on määritetty oikein käyttämään SSL-varmenteita ja oikea varmenneketju on tuotu sekä lähteessä että kohdepuolella:

Käytäntöjen käynnistyminen epäonnistuu virheen "sslv3 alert unsupported certificate" vuoksi

Cause

SyncIQ-salauksessa käytetään sekä asiakkaan että palvelimen todennusta. 

Ketjun päättävä varmenne "certificate imported in server/peer store of SyncIQ" on määritetty käyttämään vain yhtä todennustyyppiä: "Typically it will be server authentication only"

Vahvista ja tarkista:

a) isi_migrate.log-lokeista:

On cluster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

Lokeissa:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Odotettu virhe:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Saat lisätietoja tarkastelemalla lähteen ja kohteen lokeja. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) palvelin-/vertaisvarmenteen säilöstä 

On cluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

On Logs:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Yllä olevien komentojen tuloksena on joko vain arvon "TLS Web Server Authentication" tai "TLS Web Client Authentication" näkeminen.

Oikean tuloksen tavoitteena on löytää sekä "TLS Web Server Authentication"  että "TLS Web Client Authentication"

Resolution

Asiakkaan on luotava uudelleen ketjun päättävä varmenne "certificate imported in server/peer store of SyncIQ", jotta molemmat varmennustyypit sisällytetään.

Asiakkaan on noudatettava sisäistä prosessia CSR:n (Certificate Signing Request) luomiseksi ja varmistettava, että CSR:n luomiseen käytettävä conf-tiedosto sisältää seuraavat:
 

extendedKeyUsage = serverAuth,clientAuth
 
Tämän jälkeen asiakas voi allekirjoittaa tämän CSR-tiedoston suojausvaatimuksen "self-signed or CA signed" mukaisesti.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.