PowerScale: Krypterede SyncIQ-politikker mislykkes med "sslv3 alert unsupported certificate"

Summary: Krypterede SyncIQ-politikker mislykkes øjeblikkeligt med sslv3-advarsel ikke-understøttet certifikat-SSL-fejl.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

SyncIQ-politikker mislykkes med sslv3 alert unsupported certificate Fejlmeddelelse. Dette sker, når SyncIQ-politikker er konfigureret korrekt til at bruge SSL-certifikater, og når du importerer den korrekte signeringskæde af certifikater på kilde- og destinationsklyngerne.

Cause

SyncIQ-kryptering bruger både klient- og servergodkendelse. 

Certifikatet for kædens afslutning certificate imported in server/peer store of SyncIQ er kun konfigureret til at bruge én type godkendelse. Typisk er det kun servergodkendelse.

Sådan bekræfter og kontrollerer du klyngen:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Forventet fejl:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Fra serveren og peer-certifikatlageret på klyngen:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Resultatet af ovenstående kommandoer er at se TLS Web Server Authentication kun eller TLS Web Client Authentication kun.

Det korrekte output er at finde begge dele TLS Web Server Authentication og TLS Web Client Authentication.

Resolution

Regenerer certifikatet for kædens afslutning certificate imported in the server/peer store of SyncIQ for at medtage begge typer godkendelse.

Følg den interne proces i generering af CSR (Certificate Signing Request). Sørg for, at conf fil, der bruges til at generere CSR indeholder følgende:

extendedKeyUsage = serverAuth,clientAuth


Underskriv denne CSR-fil i henhold til sikkerhedskravet self-signed or CA signed.

Affected Products

Isilon, PowerScale OneFS, Isilon SyncIQ
Article Properties
Article Number: 000186531
Article Type: Solution
Last Modified: 11 Dec 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.