PowerScale：加密的 SyncIQ 策略失败，并显示“sslv3 alert unsupported certificate”

SyncIQ 策略失败，并显示 sslv3 alert unsupported certificate 错误消息。在正确配置 SyncIQ 策略以使用 SSL 证书并在源群集和目标群集上导入正确的证书签名链后，会发生这种情况。

SyncIQ 加密同时使用客户端和服务器身份验证。

链尾证书 certificate imported in server/peer store of SyncIQ 仅配置为使用一种类型的身份验证。通常，它仅限服务器身份验证。

要确认并检查 群集，请执行以下作：

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

预期错误：

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

从群集上的服务器和对等证书存储中：

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

上述命令的结果是查看 TLS Web Server Authentication only 或 TLS Web Client Authentication 只。

正确的输出是同时查找两者 TLS Web Server Authentication 和 TLS Web Client Authentication。

重新生成链末端证书 certificate imported in the server/peer store of SyncIQ 以包括这两种类型的身份验证。

按照生成证书签名请求 （CSR） 的内部流程进行作。确保 conf 用于生成 CSR 的文件包含以下内容：

extendedKeyUsage = serverAuth,clientAuth

根据安全要求对此 CSR 文件进行签名 self-signed or CA signed。