PowerScale: Krypterte SyncIQ-policyer mislykkes med «sslv3-varsel som ikke støttes sertifikat»

SyncIQ-policyer mislykkes med sslv3 alert unsupported certificate feilmelding. Dette skjer etter riktig konfigurering av SyncIQ-policyer for å bruke SSL-sertifikater, og etter import av riktig signeringskjede av sertifikater på kilde- og målklyngene.

SyncIQ-kryptering bruker både klient- og servergodkjenning. 

Slutten på kjedesertifikatet certificate imported in server/peer store of SyncIQ er bare konfigurert til å bruke én type godkjenning. Vanligvis er det bare servergodkjenning.

Slik bekrefter og kontrollerer du klyngen:

# isi_for_array -sQ ' grep "An SSL handshake failure occurred while establishing" /var/log/isi_migrate.log | grep coord ' | sort | tail -5

Expected error:

TTTTTTTTTTTTTTT <3.3> xxxxxxxxxx-4(id8) isi_migrate[57638]: coord[xxxxxxxxxx:TTTTTTTTTTTT]: siq_create_alert_internal: type: 22 (policy name: xxxxxxxxxx target: xxxxxxxxxx) SyncIQ policy failed to establish an encrypted connection with target. An SSL handshake failure occurred while establishing an encrypted connection to the target cluster. Please view the logs on the source and target for further details. SSL error string: error:14094413:SSL routines:ssl3_read_bytes:sslv3 alert unsupported certificate [ISI_TLS_ERROR_HANDSHAKE], Target: xxxxxxxxxx

Fra serveren og nodesertifikatlageret på klyngen:

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/peer/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

# openssl x509 -text -noout -in /ifs/.ifsvar/modules/isi_certs/synciq/server/zone_1/certs/<ID>.crt | grep -A1 "X509v3 Extended Key Usage"

Resultatet av kommandoene ovenfor er å se TLS Web Server Authentication bare eller TLS Web Client Authentication bare.

Den riktige utgangen er å finne begge deler TLS Web Server Authentication og TLS Web Client Authentication.

Generer sertifikatet på slutten av kjeden på nytt certificate imported in the server/peer store of SyncIQ for å inkludere begge godkjenningstypene.

Følg den interne prosessen for å generere forespørsel om sertifikatsignering (CSR). Kontroller at conf -filen som brukes til å generere CSR, inneholder følgende:

extendedKeyUsage = serverAuth,clientAuth

Signer denne CSR-filen i henhold til sikkerhetskravene self-signed or CA signed.