PowerScale: Verschlüsselte SyncIQ-Policies schlagen mit „sslv3 alert unsupported certificate“ fehl

SyncIQ-Policies schlagen fehl mit sslv3 alert unsupported certificate Fehlermeldung. Dies geschieht nach der ordnungsgemäßen Konfiguration von SyncIQ-Policies für die Verwendung von SSL-Zertifikaten und nach dem Importieren der korrekten Signaturkette von Zertifikaten auf den Quell- und Zielclustern.

Die SyncIQ-Verschlüsselung verwendet Client- und Serverauthentifizierung. 

Das Zertifikat am Ende der Kette certificate imported in server/peer store of SyncIQ ist nur für die Verwendung eines Authentifizierungstyps konfiguriert. In der Regel handelt es sich nur um eine Serverauthentifizierung.

So bestätigen und überprüfen Sie den Cluster:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Erwarteter Fehler:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

Vom Server- und Peer-Zertifikatspeicher auf dem Cluster:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Das Ergebnis der obigen Befehle ist die TLS Web Server Authentication nur oder TLS Web Client Authentication nur.

Die richtige Ausgabe besteht darin, beides zu finden TLS Web Server Authentication und TLS Web Client Authentication.

Erneutes Generieren des Zertifikats am Ende der Kette certificate imported in the server/peer store of SyncIQ , um beide Authentifizierungstypen einzuschließen.

Befolgen Sie den internen Prozess zum Erzeugen der Zertifikatsignieranforderung (CSR). Stellen Sie sicher, dass die conf Die Datei, die zum Erzeugen der CSR verwendet wird, enthält Folgendes:

extendedKeyUsage = serverAuth,clientAuth

Diese CSR-Datei gemäß den Sicherheitsanforderungen signieren self-signed or CA signed.