Connectrix Brocade B 系列：由于证书无效，HTTPS 服务已禁用

从 8.0.2d 升级到 8.1.2f。

升级到 FOX 8.1.x 或更高版本后，https 被禁用，并显示以下消息。交换机不能再通过 HTTPS 访问。  尝试重新导入现有的签名 HTTPS 证书或新证书会生成以下消息：    

[SEC-3075], 12286/1374, CHASSIS, INFO, <Switchname>, Event: Web Handler, HTTPS SERVICE DISABLED, Info: Invalid certificate, webdhttp.c, line: 640, comp:webd, ltime:2019/06/11-18:40:13:725262

交换机无法再通过 HTTPS 访问。


从管理角度来看，可能的其他症状：   

• 在以下情况下，使用 https 的 CMCNE 无法再发现交换机：    
  • 在 CMCNE 的发现屏幕中更改交换机的密码时，报告错误：     

原因是 FOS v8.1 中的 FOS 安全性增强。根据 Brocade 的 Fabric OS v8.1.2f 发行说明，在升级到 FOS 8.1.0b 及更高版本并启用 HTTPS 时，管理员必须安装证书颁发机构 （CA）、中间证书和根证书，以确保证书验证链成功。如果证书链验证失败，则 HTTPS 在 FOS v8.1.0b 或更高版本中处于禁用状态。

要验证 CA 是否正确以及 CA 链验证是否成功，请在 Linux 服务器上执行以下命令：     
#openssl verify -CAfile ca.pem servercert.pem

我们还可以参考 Broadcom 知识库文章 #13013。

使用以下命令从用于对现有证书进行签名的 CA 导入 CA 证书：      

#seccertmgmt import -ca -server https -certname <cert_name>

提醒：CA 证书必须包含用于签署 HTTPS 证书的完整链。有关此要求的其他信息，请参阅《FOS 8.2.0 管理员指南》的“创建完整的 CA 证书链”。

成功导入 CA 证书后，交换机会自动重新启用 HTTPS：     

2018/07/10-05:39:24, [WEBD-1004], 2232, FID 128, INFO, sw0, HTTP server and weblinker process will be restarted due to configuration change.