PowerScale: Krypterade SyncIQ-policyer misslyckas med "sslv3-varning som inte stöds certifikat"

Sammanfattning: Krypterade SyncIQ-policyer misslyckas omedelbart med sslv3-varning som inte stöder certifikatets SSL-fel.

Den här artikeln gäller för Den här artikeln gäller inte för Den här artikeln är inte kopplad till någon specifik produkt. Alla produktversioner identifieras inte i den här artikeln.
Kolla in andra resurser

Symptom

SyncIQ-policyer misslyckas med sslv3 alert unsupported certificate felmeddelande. Detta inträffar när SyncIQ-principer har konfigurerats korrekt för att använda SSL-certifikat och efter att rätt signeringskedja med certifikat har importerats i käll- och målklustren.

Orsak

SyncIQ-kryptering använder både klient- och serverautentisering. 

Slutet på kedjecertifikatet certificate imported in server/peer store of SyncIQ är endast konfigurerad för att använda en typ av autentisering. Vanligtvis är det endast serverautentisering.

Så här bekräftar och kontrollerar du klustret:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5


Förväntat fel:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

 

Från server- och peer-certifikatarkivet i klustret:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"


Resultatet av ovanstående kommandon är att se TLS Web Server Authentication endast eller TLS Web Client Authentication bara.

Rätt utdata är att hitta både TLS Web Server Authentication och TLS Web Client Authentication.

Upplösning

Återskapa certifikatet för slutet av kedjan certificate imported in the server/peer store of SyncIQ för att inkludera båda typerna av autentisering.

Följ den interna processen för att generera CSR (Certificate Signing Request). Se till att conf filen som används för att generera CSR innehåller följande:

extendedKeyUsage = serverAuth,clientAuth


Signera den här CSR-filen enligt säkerhetskraven self-signed or CA signed.

Berörda produkter

Isilon, PowerScale OneFS, Isilon SyncIQ
Artikelegenskaper
Artikelnummer: 000186531
Artikeltyp: Solution
Senast ändrad: 11 dec. 2025
Version:  5
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.