PowerScale: Krypterte SyncIQ-policyer mislykkes med «sslv3-varsel som ikke støttes sertifikat»

Summary: Krypterte SyncIQ-policyer mislykkes umiddelbart med SSL-feil med SSL-feil for SSL-varsel som ikke støttes av SSL-varsel.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

SyncIQ-policyer mislykkes med sslv3 alert unsupported certificate feilmelding. Dette skjer etter riktig konfigurering av SyncIQ-policyer for å bruke SSL-sertifikater, og etter import av riktig signeringskjede av sertifikater på kilde- og målklyngene.

Cause

SyncIQ-kryptering bruker både klient- og servergodkjenning. 

Slutten på kjedesertifikatet certificate imported in server/peer store of SyncIQ er bare konfigurert til å bruke én type godkjenning. Vanligvis er det bare servergodkjenning.

Slik bekrefter og kontrollerer du klyngen:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Expected error:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Fra serveren og nodesertifikatlageret på klyngen:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Resultatet av kommandoene ovenfor er å se TLS Web Server Authentication bare eller TLS Web Client Authentication bare.

Den riktige utgangen er å finne begge deler TLS Web Server Authentication og TLS Web Client Authentication.

Resolution

Generer sertifikatet på slutten av kjeden på nytt certificate imported in the server/peer store of SyncIQ for å inkludere begge godkjenningstypene.

Følg den interne prosessen for å generere forespørsel om sertifikatsignering (CSR). Kontroller at conf -filen som brukes til å generere CSR, inneholder følgende:

extendedKeyUsage = serverAuth,clientAuth


Signer denne CSR-filen i henhold til sikkerhetskravene self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.