Connectrix Brocade B-Series:由於憑證無效,導致 HTTPS 服務停用
Summary: 由於憑證無效,導致 HTTPS 服務停用
Symptoms
從 8.0.2d 升級至 8.1.2f。
升級到 FOX 8.1.x 或更新版本後,https 會停用,並顯示以下訊息。交換器已無法再透過 HTTPS 存取。 嘗試重新匯入現有的已簽署 HTTPS 憑證或新憑證時,會產生下列訊息: [SEC-3075], 12286/1374, CHASSIS, INFO, <Switchname>, Event: Web Handler, HTTPS SERVICE DISABLED, Info: Invalid certificate, webdhttp.c, line: 640, comp:webd, ltime:2019/06/11-18:40:13:725262
交換器已無法再透過 HTTPS 存取。
從管理角度來看,可能的其他癥狀:
- 使用 https 的 CMCNE 無法再探索交換器,以及下列情況:
- 在 CMCNE 探索畫面中變更交換器密碼時,回報錯誤:
Username/Password update failed. Reason: connection was refused by switch.
Rediscovering the switches:
Connection timed out.
Cause
原因是 FOS v8.1 中的 FOS 安全性增強。根據 Brocade 的 Fabric OS v8.1.2f 版本資訊,升級至 FOS 8.1.0b 及更新版本並啟用 HTTPS 時,系統管理員必須安裝認證機構 (CA)、中繼和根憑證,以確保憑證驗證鏈成功。如果憑證鏈驗證失敗,則 HTTPS 在 FOS v8.1.0b 或更新版本中會停用。
若要驗證 CA 是否正確,且 CA 鏈驗證是否成功,請在 Linux 伺服器上執行下列命令: #openssl verify -CAfile ca.pem servercert.pem
我們也可以參考 Broadcom KB 文章 #13013。
Resolution
使用以下命令從用於簽署現有憑證的 CA 匯入 CA 憑證: #seccertmgmt import -ca -server https -certname <cert_name>
注意:CA 憑證必須包含用於簽署 HTTPS 憑證的完整鏈結。有關此要求的其他資訊,請參閱 FOS 8.2.0 管理員指南中的“創建完整的 CA 證書鏈”。
成功匯入 CA 憑證後,交換器會自動重新啟用 HTTPS: 2018/07/10-05:39:24, [WEBD-1004], 2232, FID 128, INFO, sw0, HTTP server and weblinker process will be restarted due to configuration change.