Connectrix серии B. В веб-браузерах отображается сообщение «Cipher Mismatch, No Matching Ciphers» при доступе к пользовательскому интерфейсу WebTools с помощью HTTPS.
Zusammenfassung: AES256-SHA256 (0x3d) и AES128-SHA256 (0x3c) заблокированы для TLS.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
Веб-браузеры (Chrome, New Edge или Firefox) отказывались открывать веб-инструменты с помощью HTTPS.
Сообщение об ошибке содержит «Cipher Mismatch» или «No Matching Ciphers».
Рис. 1. Снимок экрана сообщения об ошибке с сообщением о том, что подключение не защищено, неподдерживается протокол
Коммутатор работает в микропрограмме FOS 8.1 или 8.2.
Сообщение об ошибке содержит «Cipher Mismatch» или «No Matching Ciphers».
Рис. 1. Снимок экрана сообщения об ошибке с сообщением о том, что подключение не защищено, неподдерживается протокол
Коммутатор работает в микропрограмме FOS 8.1 или 8.2.
Ursache
Параметр шифрования HTTPS на коммутаторе разрешает только AES256-SHA256 и AES128-SHA256 для TLS 1.2 («default_generic» или «default_strong templates» FOS 8.1 или 8.2).
Дамп Wireshark показывает, что клиент не принимает AES256-SHA256 (0x3d) или AES128-SHA256 (0x3c), поэтому подтверждение TLS завершается сбоем.
Рис. 2. Снимок экрана с дампом Wireshark, показывающий сбой подтверждения
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
Дамп Wireshark показывает, что клиент не принимает AES256-SHA256 (0x3d) или AES128-SHA256 (0x3c), поэтому подтверждение TLS завершается сбоем.
Рис. 2. Снимок экрана с дампом Wireshark, показывающий сбой подтверждения
Lösung
Измените параметр шифрования HTTPS коммутатора, чтобы окрыть клиент.
Пример.В
данном примере текущая настройка шифрования HTTPS: «! ECDH: DH:HIGH:-MD5:! КАМЕЛИЯ:! SRP:! PSK:! AESGCM: SSLv3"
Чтобы включить AES256-GCM-SHA384 (0x9d) и AES128-GCM-SHA256 (0x9c), удалите ! AESGCM» из настройки с помощью команды:
Пример.В
данном примере текущая настройка шифрования HTTPS: «! ECDH: DH:HIGH:-MD5:! КАМЕЛИЯ:! SRP:! PSK:! AESGCM: SSLv3"
Чтобы включить AES256-GCM-SHA384 (0x9d) и AES128-GCM-SHA256 (0x9c), удалите ! AESGCM» из настройки с помощью команды:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
Weitere Informationen
Сопоставить имена шифров OpenSSL (отображаются в команде OpenSSL) с именами шифров IANA (отображаются в дампах Wireshark) с помощью документа Mozilla, security/Cipher Suites - MozillaW выполняйте команду
Betroffene Produkte
Connectrix B-SeriesArtikeleigenschaften
Artikelnummer: 000213633
Artikeltyp: Solution
Zuletzt geändert: 25 Aug. 2023
Version: 5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.