PowerScale: Zaszyfrowane zasady SyncIQ ulegają awarii z błędem „sslv3 alert unsupported certificate”
Summary: Zaszyfrowane zasady SyncIQ natychmiast kończą się niepowodzeniem z alertem sslv3 o błędzie SSL nieobsługiwanego certyfikatu.
Symptoms
Zasady SyncIQ kończą się niepowodzeniem z sslv3 alert unsupported certificate . Dzieje się tak po poprawnym skonfigurowaniu zasad SyncIQ do korzystania z certyfikatów SSL oraz po zaimportowaniu prawidłowego łańcucha podpisywania certyfikatów w klastrach źródłowym i docelowym.
Cause
Szyfrowanie SyncIQ korzysta zarówno z uwierzytelniania klienta, jak i serwera.
Certyfikat końca łańcucha certificate imported in server/peer store of SyncIQ jest skonfigurowany do korzystania tylko z jednego typu uwierzytelniania. Zazwyczaj jest to tylko uwierzytelnianie serwera.
Aby potwierdzić i sprawdzić klaster:
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Oczekiwany błąd:
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
Z serwera i magazynu certyfikatów równorzędnych w klastrze:
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Wynikiem powyższych poleceń jest wyświetlenie TLS Web Server Authentication tylko lub TLS Web Client Authentication tylko.
Prawidłowym wyjściem jest znalezienie obu TLS Web Server Authentication i TLS Web Client Authentication.
Resolution
Wygeneruj ponownie certyfikat końca łańcucha certificate imported in the server/peer store of SyncIQ , aby uwzględnić oba typy uwierzytelniania.
Postępuj zgodnie z wewnętrznym procesem generowania żądania podpisania certyfikatu (CSR). Upewnij się, że conf plik użyty do wygenerowania CSR zawiera następujące elementy:
extendedKeyUsage = serverAuth,clientAuth
Podpisz ten plik CSR zgodnie z wymaganiami bezpieczeństwa self-signed or CA signed.