Connectrix Brocade: Falha do switch ao estabelecer uma conexão com o servidor syslog seguro configurado.
Summary: Depois de importar o certificado de CA do servidor Syslog seguro pelo comando secccertmgmt e definir o endereço IP do servidor Syslog seguro usando o comando syslogadmin, o switch falha ao estabelecer uma conexão com o servidor Syslog seguro. ...
Symptoms
Depois de importar o certificado de CA do servidor Syslog seguro por meio do comando secccertmgmt e definir o endereço IP do servidor Syslog seguro usando o comando syslogadmin, o switch falha ao estabelecer uma conexão com o servidor Syslog seguro.
sw0:admin> seccertmgmt show -all
ssh private key:
Exists
ssh public keys available for users:
None
| Protocolo | Client CA | CA do servidor | SW | CSR | Chave PVT | Frase secreta |
|---|---|---|---|---|---|---|
| FCAP | Vazio | NA | Vazio | Vazio | Vazio | Vazio |
| RAIO | Vazio | Vazio | Vazio | Vazio | Vazio | NA |
| LDAP | Vazio | Vazio | Vazio | Vazio | Vazio | NA |
| SYSLOG | Vazio | Existir | Vazio | Vazio | Vazio | NA |
| HTTPS | NA | Vazio | Existir | Vazio | Existir | NA |
sw0:admin> syslogadmin --show -ip
syslog.1 192.168.0.100 secure: port 5003
Sintoma:
O servidor syslog pode conter os seguintes erros em seus registros: Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error
Cause
Causa principal:
O switch rejeitará a sessão TLS com o servidor syslog devido ao recebimento de um certificado desconhecido. Isso é causado pelo certificado do servidor syslog que não contém o endereço IP do servidor syslog. Como resultado, o switch não pode validar o certificado recebido em relação ao importado e, subsequentemente, encerra a conexão.
Resolution
Atualize a configuração do switch para usar o nome de domínio completo do servidor syslog seguro em vez do endereço IP. Talvez seja necessário atualizar o comando dnsconfig para garantir que o switch possa resolver o nome do servidor syslog seguro. Depois de concluído, o switch poderá estabelecer uma sessão TLS segura com o servidor syslog seguro.
Exemplos de comando:
dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003