As políticas criptografadas do SyncIQ falham com "sslv3 alert unsupported certificate"

Summary: As políticas criptografadas do SyncIQ falham imediatamente com o erro SSL "sslv3 alert unsupported certificate"

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Depois de configurar corretamente as políticas do SyncIQ para usar certificados SSL e depois de importar a cadeia de assinatura correta de certificados no lado de origem e de destino.

As políticas começam a falhar com o erro "sslv3 alert unsupported certificate"

Cause

A criptografia no SyncIQ está usando a autenticação de cliente e de servidor. 

O certificado de fim de cadeia "certificado importado no armazenamento de servidor/par do SyncIQ" é configurado somente para usar um tipo de autenticação do tipo "normalmente será apenas autenticação de servidor"

Para confirmar e verificar:

a) No isi_migrate.logs:

No cluster:
-------------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

Nos registros:
------------
"An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Erro esperado:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


b) b) Do armazenamento de certificados de servidor/par 

No cluster:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Nos registros:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Como resultado dos comandos acima, somente a mensagem "TLS Web Server Authentication" ou "TLS Web Client Authentication" é exibida.

A saída correta para encontrar "TLS Web Server Authentication"  e "TLS Web Client Authentication"

Resolution

O cliente precisará gerar novamente o certificado de fim de cadeia "certificado importado no armazenamento de servidor/par do SyncIQ" para incluir ambos os tipos de autenticação.

Para fazer isso, o cliente terá que seguir seu processo interno na geração da Solicitação de assinatura de certificado (CSR) enquanto se certifica de que o arquivo conf usado para gerar o CSR contém o seguinte:
 

extendedKeyUsage = serverAuth,clientAuth
 
Mais tarde, o cliente pode assinar este arquivo CSR de acordo com seu requisito de segurança "autoassinado ou CA assinado"

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.