Connectrix Brocade B-Series：証明書が無効なためHTTPSサービスが無効になっています

8.0.2dから8.1.2f.

へのアップグレードFOX 8.1.x以降にアップグレードすると、httpsが無効になり、次のメッセージが表示されます。スイッチにHTTPS経由でアクセスできなくなりました。  既存の署名済みHTTPS証明書または新しい証明書を再インポートしようとすると、次のメッセージが生成されます。    

[SEC-3075], 12286/1374, CHASSIS, INFO, <Switchname>, Event: Web Handler, HTTPS SERVICE DISABLED, Info: Invalid certificate, webdhttp.c, line: 640, comp:webd, ltime:2019/06/11-18:40:13:725262

スイッチにHTTPS経由でアクセスできなくなりました。


管理の観点から発生する可能性のある追加の症状:   

• https を使用する CMCNE がスイッチを検出できなくなり、次の場合:    
  • CMCNEの検出画面でスイッチのパスワードを変更すると、次のエラーが報告されました。     

その理由は、FOS v8.1でFOSのセキュリティが強化されたためです。BrocadeのFabric OS v8.1.2fリリース ノートによると、FOS 8.1.0b以降にアップグレードし、HTTPSを有効にする場合、証明書の検証チェーンが正常に行われるように、管理者は認証局(CA)、中間、ルート証明書をインストールする必要があります。FOS v8.1.0b以降では、証明書のチェーンの検証に失敗した場合、HTTPSは無効になっています。

CAが正しく、CAチェーンの検証が成功したかどうかを確認するには、Linuxサーバーで次のコマンドを実行します。     
#openssl verify -CAfile ca.pem servercert.pem

BroadcomのKB記事#13013も参照できます。

次のコマンドを使用して、既存の証明書の署名に使用したCAからCA証明書をインポートします。      

#seccertmgmt import -ca -server https -certname <cert_name>

注：CA証明書には、HTTPS証明書の署名に使用された完全なチェーンが含まれている必要があります。この要件の詳細については、『FOS 8.2.0 Administrator s Guide』の「Creating a complete chain of CA certificates」に記載されています

CA証明書が正常にインポートされると、スイッチは自動的にHTTPSを再度有効にします。     

2018/07/10-05:39:24, [WEBD-1004], 2232, FID 128, INFO, sw0, HTTP server and weblinker process will be restarted due to configuration change.