PowerScale: 암호화된 SyncIQ 정책이 실패하며 "SSLv3 alert unsupported certificate" 표시

다음 오류로 SyncIQ 정책 실패 sslv3 alert unsupported certificate 메시지를 해결하는 방법을 알아보십시오. 이 문제는 SyncIQ 정책이 SSL 인증서를 사용하도록 올바르게 구성한 후, 그리고 소스 및 타겟 클러스터에서 올바른 인증서 서명 체인을 가져온 후에 발생합니다.

SyncIQ 암호화는 클라이언트 및 서버 인증을 모두 사용합니다. 

체인 인증서의 끝 certificate imported in server/peer store of SyncIQ 한 가지 유형의 인증만 사용하도록 구성되어 있는지 확인합니다. 일반적으로 서버 인증 전용입니다.

클러스터를 확인하고 확인하려면 다음을 수행합니다.

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

예상 오류:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

클러스터의 서버 및 피어 인증서 저장소에서 다음을 수행합니다.

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

위 명령의 결과는 다음과 같습니다. TLS Web Server Authentication only 또는 TLS Web Client Authentication 오직.

올바른 출력은 둘 다 찾는 것입니다. TLS Web Server Authentication 및 TLS Web Client Authentication.

EOL(End-of-Chain) 인증서 재생성 certificate imported in the server/peer store of SyncIQ 을 클릭하여 두 가지 유형의 인증을 모두 포함합니다.

CSR(Certificate Signing Request)을 생성하는 내부 프로세스를 따릅니다. 다음 사항을 확인합니다. conf CSR을 생성하는 데 사용되는 파일에는 다음이 포함됩니다.

extendedKeyUsage = serverAuth,clientAuth

보안 요구 사항에 따라 이 CSR 파일에 서명 self-signed or CA signed.