PowerScale: As políticas criptografadas do SyncIQ falham com "sslv3 alert unsupported certificate"

As políticas do SyncIQ falham com sslv3 alert unsupported certificate . Isso ocorre depois de configurar corretamente as políticas do SyncIQ para usar certificados SSL e depois de importar a cadeia de assinatura correta de certificados nos clusters de origem e destino.

A criptografia do SyncIQ está usando autenticação de client e servidor. 

O certificado de fim da cadeia certificate imported in server/peer store of SyncIQ é configurado apenas para usar um tipo de autenticação. Normalmente, é apenas autenticação de servidor.

Para confirmar e verificar o cluster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Erro esperado:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

No armazenamento de certificados do servidor e do par no cluster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

O resultado dos comandos acima é ver TLS Web Server Authentication apenas ou TLS Web Client Authentication somente.

A saída correta é encontrar ambos TLS Web Server Authentication e TLS Web Client Authentication.

Gerar novamente o certificado de fim de cadeia certificate imported in the server/peer store of SyncIQ para incluir os dois tipos de autenticação.

Siga o processo interno ao gerar a solicitação de assinatura de certificado (CSR). Certifique-se de que o conf arquivo usado para gerar a CSR contém o seguinte:

extendedKeyUsage = serverAuth,clientAuth

Assine este arquivo CSR de acordo com o requisito de segurança self-signed or CA signed.