PowerScale. Сбой зашифрованных политик SyncIQ, при котором отображается ошибка «sslv3 alert unsupported certificate»

Summary: Политики Encrypted SyncIQ немедленно завершаются сбоем с ошибкой SSL alert sslv3 — неподдерживаемый сертификат.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Сбой политик SyncIQ с sslv3 alert unsupported certificate . Это происходит после правильной настройки политик SyncIQ для использования SSL-сертификатов и после импорта правильной цепочки подписей сертификатов в исходном и целевом кластерах.

Cause

Для шифрования SyncIQ используются как клиентская, так и серверная аутентификация. 

Сертификат конца цепочки certificate imported in server/peer store of SyncIQ настроен только для использования одного типа аутентификации. Как правило, это проверка подлинности только сервера.

Чтобы подтвердить и проверить кластер, выполните следующие действия:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Ожидаемая ошибка:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

В хранилище сертификатов сервера и одноранговых узлов кластера:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Результатом выполнения вышеуказанных команд является просмотр TLS Web Server Authentication only или TLS Web Client Authentication только.

Правильным выводом будет найти оба TLS Web Server Authentication и TLS Web Client Authentication.

Resolution

Повторное создание сертификата конца цепочки certificate imported in the server/peer store of SyncIQ , чтобы включить оба типа проверки подлинности.

Следуйте внутреннему процессу создания запроса на подпись сертификата (CSR). Убедитесь, что conf файл, используемый для создания запроса подписи сертификата, содержит следующее:

extendedKeyUsage = serverAuth,clientAuth


Подпишите этот файл запроса подписи сертификата в соответствии с требованиями безопасности self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.