PowerScale: Salatut SyncIQ-käytännöt epäonnistuvat virheen "sslv3 alert unsupported certificate" vuoksi

SyncIQ-käytännöt epäonnistuvat sslv3 alert unsupported certificate virheviesti. Tämä tapahtuu, kun SyncIQ-käytännöt on määritetty käyttämään SSL-varmenteita oikein ja kun oikea varmenteiden allekirjoitusketju on tuotu lähde- ja kohdeklustereihin.

SyncIQ-salauksessa käytetään sekä asiakkaan että palvelimen todennusta. 

Ketjun päättymistodistus certificate imported in server/peer store of SyncIQ on määritetty käyttämään vain yhtä todennustyyppiä. Yleensä se on vain palvelimen todennus.

Klusterin vahvistaminen ja tarkistaminen:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Odotettu virhe:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

Klusterin palvelin- ja vertaisvarmennesäilöstä:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Edellä mainittujen komentojen tulos on nähdä: TLS Web Server Authentication vain tai TLS Web Client Authentication vain.

Oikea tulos on löytää molemmat TLS Web Server Authentication ja TLS Web Client Authentication.

Luo ketjun loppuvarmenne uudelleen certificate imported in the server/peer store of SyncIQ sisällyttääksesi molemmat todennustyypit.

Noudata sisäistä prosessia varmenteen allekirjoituspyynnön (CSR) luomisessa. Varmista, että conf CSR:n luomiseen käytetty tiedosto sisältää seuraavat:

extendedKeyUsage = serverAuth,clientAuth

Allekirjoita tämä CSR-tiedosto suojausvaatimuksen mukaisesti self-signed or CA signed.