Connectrix Brocade: Lo switch non riesce a stabilire una connessione con il server syslog sicuro configurato.
Summary: Dopo aver importato il certificato CA del server syslog protetto tramite il comando secccertmgmt e aver impostato l'indirizzo IP del server syslog protetto utilizzando il comando syslogadmin, lo switch non riesce a stabilire una connessione con il server syslog protetto. ...
Symptoms
Dopo aver importato il certificato CA del server syslog protetto tramite il comando secccertmgmt e aver impostato l'indirizzo IP del server syslog protetto utilizzando il comando syslogadmin, lo switch non riesce a stabilire una connessione con il server syslog protetto.
sw0:admin> seccertmgmt show -all
ssh private key:
Exists
ssh public keys available for users:
None
| Protocollo | Client CA | Server CA | SW | CSR | Chiave PVT | Passphrase |
|---|---|---|---|---|---|---|
| FCAP | Vuoto | N/D | Vuoto | Vuoto | Vuoto | Vuoto |
| RAGGIO | Vuoto | Vuoto | Vuoto | Vuoto | Vuoto | N/D |
| LDAP | Vuoto | Vuoto | Vuoto | Vuoto | Vuoto | N/D |
| SYSLOG | Vuoto | Esistere | Vuoto | Vuoto | Vuoto | N/D |
| HTTPS | N/D | Vuoto | Esistere | Vuoto | Esistere | N/D |
sw0:admin> syslogadmin --show -ip
syslog.1 192.168.0.100 secure: port 5003
Sintomo:
Il server syslog può contenere i seguenti errori nei relativi registri: Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error
Cause
Root cause:
Lo switch rifiuterà la sessione TLS con il server syslog, a causa della ricezione di un certificato sconosciuto. Ciò è causato dal fatto che il certificato del server syslog non contiene l'indirizzo IP del server syslog. Di conseguenza, lo switch non è in grado di convalidare il certificato ricevuto rispetto a quello importato e successivamente termina la connessione.
Resolution
Aggiornare la configurazione dello switch in modo da utilizzare il nome di dominio completo del server syslog protetto anziché l'indirizzo IP. Potrebbe essere necessario aggiornare il comando dnsconfig per garantire che lo switch sia in grado di risolvere il nome del server syslog protetto. Al termine, lo switch sarà in grado di stabilire una sessione TLS protetta con il server syslog protetto.
Esempi di comandi:
dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003