Les stratégies SyncIQ chiffrées échouent avec « sslv3 alert unsupported certificate »

Summary: Les politiques SyncIQ chiffrées échouent immédiatement avec l’erreur SSL « sslv3 alert unsupported certificate »

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Après avoir correctement configuré les politiques SyncIQ pour utiliser des certificats SSL et après l’importation de la chaîne de signature correcte des certificats sur le côté source et le côté cible,

les politiques commencent à échouer avec l’erreur « sslv3 alert unsupported certificate »

Cause

Le chiffrement dans SyncIQ utilise à la fois l’authentification client et serveur. 

La fin du certificat de chaîne « certificate imported in server/peer store of SyncIQ » (certificat importé dans le serveur/le stockage homologue de SyncIQ) est configurée uniquement pour utiliser un type d’authentification « Typically it will be server authentication only » (Généralement, il s’agit d’une authentification de serveur uniquement)

Pour confirmer et vérifier :

a) from isi_migrate.logs:

Sur le cluster :
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

Sur les journaux :
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Erreur attendue :
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. Une défaillance de l’établissement d’une liaison SSL s’est produite lors de l’établissement d’une connexion chiffrée avec le cluster cible. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) depuis le serveur/le stockage de certificats homologue 

Sur le cluster :
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage »

Sur les journaux :
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage »

Les commandes ci-dessus permettent d’afficher « TLS Web Server Authentication » ou « TLS Web Client Authentication » uniquement.

La sortie correcte consiste à trouver à la fois « LS Web Server Authentication »  et « TLS Web Client Authentication »

Resolution

Le client devra générer à nouveau le certificat de fin de chaîne « certificate imported in server/peer store of SyncIQ » pour inclure les deux types d’authentification.

Pour ce faire, le client doit suivre son processus interne de génération de la demande de signature de certificat « CSR », tout en s’assurant que le fichier de configuration utilisé pour générer la CSR contient les éléments suivants :
 

extendedKeyUsage = serverAuth,clientAuth
 
Plus tard, le client peut signer ce fichier CSR conformément à ses besoins de sécurité « auto-signé ou signé par une autorité de certification »

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.