PowerScale：加密的 SyncIQ 原則失敗，並顯示「sslv3 alert unsupported certificate」

SyncIQ 原則失敗，並顯示 sslv3 alert unsupported certificate 錯誤訊息。在正確設定 SyncIQ 原則以使用 SSL 憑證，並在來源和目標叢集上匯入正確的憑證簽署鏈後，就會發生這種情況。

SyncIQ 加密會同時使用用戶端和伺服器認證。

鏈結憑證的結束 certificate imported in server/peer store of SyncIQ 僅配置為使用一種類型的身份驗證。通常，它只是伺服器身份驗證。

若要確認並檢查 叢集：

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

預期錯誤：

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

從叢集上的伺服器和對等憑證存放區：

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

以上命令的結果是 TLS Web Server Authentication 僅或 TLS Web Client Authentication 惟。

正確的輸出是同時找到兩者 TLS Web Server Authentication 和 TLS Web Client Authentication。

重新產生鏈終憑證 certificate imported in the server/peer store of SyncIQ 以包括兩種類型的身份驗證。

遵循產生憑證簽署要求 （CSR） 的內部程序。請確定 conf 用於產生 CSR 的檔案包含以下內容：

extendedKeyUsage = serverAuth,clientAuth

根據安全性要求簽署此 CSR 檔案 self-signed or CA signed。