Сбой зашифрованных политик SyncIQ, при котором отображается ошибка «sslv3 alert unsupported certificate»

Summary: Сбой зашифрованных политик SyncIQ, при котором отображается ошибка SSL «sslv3 alert unsupported certificate»

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

После правильной настройки политик SyncIQ для использования сертификатов SSL и после импорта правильной цепочки подписей сертификатов как на исходной, так и на целевой стороне.

Происходит сбой политик, при котором отображается ошибка «sslv3 alert unsupported certificate»

Cause

Шифрование в SyncIQ использует проверку подлинности клиента и сервера. 

Сертификат конца цепочки «сертификат, импортированный в хранилище сервера/однорангового узла SyncIQ» настроен только на использование одного типа проверки подлинности. «Обычно это только проверка подлинности сервера»

Подтверждение и проверка:

а) из журналов isi_migrate.logs:

В кластере:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5 

В журналах:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Ожидаемая ошибка:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


б) из хранилища сертификатов сервера/однорангового узла 

в кластере:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

В журналах:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

В результате выполнения приведенных выше команд будет отображаться только «Проверка подлинности веб-сервера TLS» или только «Проверка подлинности веб-клиента TLS».

Правильный вывод — «Проверка подлинности веб-сервера TLS» и «Проверка подлинности веб-клиента TLS»

Resolution

Заказчику придется повторно создать сертификат конца цепочки «сертификат, импортированный в хранилище сервера/однорангового узла SyncIQ», чтобы включить оба типа проверки подлинности.

Для этого заказчику придется следовать своему внутреннему процессу при создании запроса на подписание сертификата (CSR), убедившись, что файл конфигурации, используемый для создания CSR, содержит следующее:
 

extendedKeyUsage = serverAuth,clientAuth
 
Позже заказчик может подписать этот файл CSR в соответствии с требованием безопасности «самозаверяющий сертификат или подписанный ЦС»

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.