Le policy SyncIQ crittografate non riescono con "sslv3 alert unsupported certificate"

Summary: Le policy SyncIQ crittografate non riescono immediatamente con l'errore SSL "sslv3 alert unsupported certificate"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Dopo aver configurato correttamente le policy SyncIQ per l'utilizzo dei certificati SSL e dopo l'import della catena di firma corretta dei certificati sia sul lato origine che su quello di destinazione.

Le policy iniziano a non riuscire con l'errore "sslv3 alert unsupported certificate"

Cause

La crittografia in SyncIQ utilizza sia l'autenticazione client che l'autenticazione server. 

Il certificato "certificate imported in server/peer store of SyncIQ" è configurato per utilizzare un solo tipo di autenticazione "In genere sarà solo autenticazione server"

Per confermare e controllare:

a) da isi_migrate.logs:

nel cluster:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/-sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep co ottica ' | sort | tail -5

On Logs:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep co ottica | ordinare | coda -5 


Errore previsto:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: co compare[xxxxxxxxxx:TTTTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (nome policy: xxxxxxxxxx target: xxxxxxxxxx) La policy SyncIQ non è riuscita a stabilire una connessione crittografata con la destinazione. Si è verificato un errore di handshake SSL durante la definizione di una connessione crittografata al cluster di destinazione. Per ulteriori dettagli, visualizzare i registri sull'origine e sulla destinazione. Stringa di errore SSL: errore:14094413:routine SSL:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], destinazione: xxxxxxxxxx


b) dallo store certificati server/peer

nel cluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

sui log:
------------
$ openssl x509 -text -noout -in locale/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Il risultato dei comandi precedenti è quello di visualizzare solo

"TLS Web Server Authentication" o "TLS Web Client Authentication". L'output corretto è quello di trovare sia "TLS Web Server Authentication" che"TLS Web Client Authentication"

Resolution

Il cliente dovrà generare nuovamente il certificato di fine della catena "certificato importato nel server/peer store di SyncIQ" per includere entrambi i tipi di autenticazione.

A tale scopo, il cliente dovrà seguire il suo processo interno per generare la "CSR" della Richiesta di firma dei certificati e assicurarsi che il file conf utilizzato per generare la CSR contenga quanto segue:
 

extendedKeyUsage = serverAuth,clientAuth
 
Successivamente il cliente può firmare questo file CSR secondo il proprio requisito di sicurezza "autofirmato o con CA firmato"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.