Zaszyfrowane zasady SyncIQ ulegają awarii z błędem „sslv3 alert unsupported certificate”

Summary: Zaszyfrowane zasady SyncIQ natychmiast ulegają awarii z błędem SSL „sslv3 alert unsupported certificate”

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Zasady ulegają awarii z powodu błędu „sslv3 alert unsupported certificate” po prawidłowym skonfigurowaniu zasad SyncIQ w celu korzystania z certyfikatów SSL i po zaimportowaniu poprawnego łańcucha podpisywania certyfikatów po stronie źródłowej i docelowej.

Cause

Szyfrowanie w SyncIQ korzysta z uwierzytelniania klienta i serwera. 

Końcowy certyfikat łańcucha „certyfikat zaimportowany w magazynie serwera / węzła równorzędnego SyncIQ” jest skonfigurowany tylko do korzystania z jednego typu uwierzytelniania „Zazwyczaj będzie to tylko uwierzytelnianie serwera”

Aby potwierdzić i sprawdzić:

a) z pliku isi_migrate.logs:

W klastrze:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

W dziennikach:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Oczekiwany błąd:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) z magazynu certyfikatów serwera / węzła równorzędnego:

W klastrze:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

W dziennikach:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

W wyniku powyższych poleceń widoczna powinna być tylko opcja „TLS Web Server Authentication” lub tylko „TLS Web Server Authentication”.

Prawidłowy wynik to wyświetlenie opcji „TLS Web Server Authentication” i „TLS Web Server Authentication”.

Resolution

Klient będzie musiał ponownie wygenerować certyfikat końca łańcucha „certyfikat zaimportowany w magazynie serwera / węzła równorzędnego SyncIQ”, aby uwzględnić oba typy uwierzytelniania.

W tym celu klient będzie musiał postępować zgodnie z wewnętrznym procesem generowania pliku CRS (Certificate Signing Request) swojej organizacji, upewniając się, że plik konfiguracyjny użyty do wygenerowania CSR zawiera następujący element:
 

extendedKeyUsage = serverAuth,clientAuth
 
Później klient może podpisać ten plik CSR zgodnie z wewnętrznym wymogiem zabezpieczeń „podpisany samodzielnie lub podpisany przez urząd certyfikacji”

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.