PowerScale : Les stratégies SyncIQ chiffrées échouent avec « sslv3 alert unsupported certificate »
Summary: Les règles SyncIQ chiffrées échouent immédiatement avec une erreur SSL de certificat non pris en charge d’alerte sslv3.
Symptoms
Les règles SyncIQ échouent avec sslv3 alert unsupported certificate . Cela se produit après avoir correctement configuré les règles SyncIQ pour utiliser des certificats SSL et après avoir importé la chaîne de signature correcte des certificats sur les clusters source et cible.
Cause
Le chiffrement SyncIQ utilise à la fois l’authentification du client et celle du serveur.
Certificat de fin de chaîne certificate imported in server/peer store of SyncIQ n’est configuré pour utiliser qu’un seul type d’authentification. En général, il s’agit uniquement de l’authentification du serveur.
Pour confirmer et vérifier le cluster :
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Erreur attendue :
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
À partir du serveur et du magasin de certificats homologues sur le cluster :
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Le résultat des commandes ci-dessus est de voir TLS Web Server Authentication only ou TLS Web Client Authentication seulement.
Le résultat correct est de trouver à la fois TLS Web Server Authentication et TLS Web Client Authentication.
Resolution
Régénérer le certificat de fin de chaîne certificate imported in the server/peer store of SyncIQ pour inclure les deux types d’authentification.
Suivez le processus interne pour générer la demande de signature de certificat (CSR). Assurez-vous que l’option conf Le fichier utilisé pour générer la CSR contient les éléments suivants :
extendedKeyUsage = serverAuth,clientAuth
Signez ce fichier CSR conformément aux exigences de sécurité. self-signed or CA signed.