PowerScale: Zaszyfrowane zasady SyncIQ ulegają awarii z błędem „sslv3 alert unsupported certificate”
摘要: Zaszyfrowane zasady SyncIQ natychmiast kończą się niepowodzeniem z alertem sslv3 o błędzie SSL nieobsługiwanego certyfikatu.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
症狀
Zasady SyncIQ kończą się niepowodzeniem z sslv3 alert unsupported certificate . Dzieje się tak po poprawnym skonfigurowaniu zasad SyncIQ do korzystania z certyfikatów SSL oraz po zaimportowaniu prawidłowego łańcucha podpisywania certyfikatów w klastrach źródłowym i docelowym.
原因
Szyfrowanie SyncIQ korzysta zarówno z uwierzytelniania klienta, jak i serwera.
Certyfikat końca łańcucha certificate imported in server/peer store of SyncIQ jest skonfigurowany do korzystania tylko z jednego typu uwierzytelniania. Zazwyczaj jest to tylko uwierzytelnianie serwera.
Aby potwierdzić i sprawdzić klaster:
# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5
Oczekiwany błąd:
TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx
Z serwera i magazynu certyfikatów równorzędnych w klastrze:
# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage" # openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"
Wynikiem powyższych poleceń jest wyświetlenie TLS Web Server Authentication tylko lub TLS Web Client Authentication tylko.
Prawidłowym wyjściem jest znalezienie obu TLS Web Server Authentication i TLS Web Client Authentication.
解析度
Wygeneruj ponownie certyfikat końca łańcucha certificate imported in the server/peer store of SyncIQ , aby uwzględnić oba typy uwierzytelniania.
Postępuj zgodnie z wewnętrznym procesem generowania żądania podpisania certyfikatu (CSR). Upewnij się, że conf plik użyty do wygenerowania CSR zawiera następujące elementy:
extendedKeyUsage = serverAuth,clientAuth
Podpisz ten plik CSR zgodnie z wymaganiami bezpieczeństwa self-signed or CA signed.
受影響的產品
Isilon, PowerScale OneFS, Isilon SyncIQ文章屬性
文章編號: 000186531
文章類型: Solution
上次修改時間: 11 12月 2025
版本: 5
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。