Şifreli SyncIQ politikaları "sslv3 alert unsupported certificate" hatası ile başarısız oluyor

Summary: Şifreli SyncIQ politikaları hemen "sslv3 alert unsupported certificate" (sslv3 uyarısı desteklenmeyen sertifika) SSL hatası ile başarısız oluyor

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

SSL sertifikalarını kullanmak için SyncIQ politikalarını doğru yapılandırdıktan ve hem kaynak hem de hedef tarafta doğru imza zincirini içe aktardıktan sonra.

Politikalar "sslv3 alert unsupported certificate" (sslv3 uyarısı desteklenmeyen sertifika) hatasıyla başarısız oluyor

Cause

SyncIQ'da şifreleme, hem istemci hem de sunucu kimlik doğrulaması kullanıyor. 

Zincir sertifikasının sonu "SyncIQ'nun sunucu/eş deposuna aktarılan sertifika" yalnızca bir tür kimlik doğrulama kullanmak için yapılandırılır "Çoğunlukla yalnızca sunucu kimlik doğrulaması olur"

Onaylamak ve kontrol etmek için:

a) isi_migrate.logs'dan:

Kümede:
--------------
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Günlüklerde:
------------
$ grep -h "An SSL handshake failure occurred while establishing" */varlog.tar/log/isi_migrate.log | grep coord | sort | tail -5 


Beklenen hata:
---------------------
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. Hedef kümeye şifrelenmiş bir bağlantı oluşturulurken bir SSL tokalaşma hatası oluştu. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx


B) sunucu/eş sertifika deposundan

Kümede:
--------------
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Günlüklerde:
------------
$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

$ openssl x509 -text -noout -in local/ifsvar_modules.tar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Yukarıdaki komutların sunucu, yalnızca "TLS Web Server Authentication" veya yalnızca "TLS Web Client Authentication" görmektir.

Doğru çıktı hem "TLS Web Server Authentication" hem de "TLS Web Client Authentication"'ı görmek olur

Resolution

Müşterinin, her iki kimlik doğrulama türüne de sahip olmak için "Certificate imported in server/peer store of SyncIQ" (SyncIQ sunucu/eş deposuna aktarılmış sertifika) zincir sonu sertifikasını yeniden oluşturması gerekir.

Bunu yapmak için müşteri, CSR oluşturmak için kullanılan conf dosyasının aşağıdakileri içeriyor olduğundan emin olurken Sertifika İmzalama İsteği "CSR" oluşturmada dahili işlemini takip etmelidir:
 

extendedKeyUsage = serverAuth,clientAuth
 
Daha sonra müşteri, "kendinden imzalı veya CA imzalı" güvenlik gereksinimine göre bu CSR dosyasını imzalayabilir

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 06 Dec 2024
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.