PowerScale: Le policy SyncIQ crittografate hanno esito negativo con "sslv3 alert unsupported certificate"

Le policy SyncIQ hanno esito negativo con sslv3 alert unsupported certificate software. Ciò si verifica dopo aver configurato correttamente le policy SyncIQ per l'utilizzo dei certificati SSL e dopo aver importato la catena di firma corretta dei certificati nei cluster di origine e di destinazione.

La crittografia SyncIQ utilizza sia l'autenticazione client sia l'autenticazione server. 

Certificato di fine catena certificate imported in server/peer store of SyncIQ è configurato per utilizzare un solo tipo di autenticazione. In genere, si tratta solo di autenticazione server.

Per confermare e controllare il cluster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Errore previsto:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

Dal server e dall'archivio certificati peer nel cluster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Il risultato dei comandi precedenti è quello di vedere TLS Web Server Authentication solo o TLS Web Client Authentication soltanto.

L'output corretto consiste nel trovare entrambi TLS Web Server Authentication e TLS Web Client Authentication.

Rigenerazione del certificato di fine catena certificate imported in the server/peer store of SyncIQ per includere entrambi i tipi di autenticazione.

Seguire il processo interno per generare la richiesta di firma del certificato (CSR). Assicurarsi che il conf utilizzato per generare la CSR contiene quanto segue:

extendedKeyUsage = serverAuth,clientAuth

Firmare questo file CSR in base ai requisiti di sicurezza self-signed or CA signed.