Connectrix B 系列:使用 HTTPS 访问 WebTools UI 时,Web 浏览器报告“密码不匹配,无匹配密码”
Summary: 对于 TLS,AES256-SHA256 (0x3d) 和 AES128-SHA256 (0x3c) 被阻止。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Web 浏览器(Chrome、New Edge 或 Firefox)拒绝使用 HTTPS 打开 Web 工具。
错误消息包含“密码不匹配”或“无匹配密码”。
图 1:显示连接不安全、不支持的协议的错误消息的屏幕截图
交换机在 FOS 8.1 或 8.2 固件中运行。
错误消息包含“密码不匹配”或“无匹配密码”。
图 1:显示连接不安全、不支持的协议的错误消息的屏幕截图
交换机在 FOS 8.1 或 8.2 固件中运行。
Cause
交换机 HTTPS 密码设置仅允许 AES256-SHA256 和 AES128-SHA256 用于 TLS 1.2(FOS 8.1 或 8.2 的“default_generic”或“default_strong模板”)。
Wireshark 转储显示客户端不接受 AES256-SHA256 (0x3d) 或 AES128-SHA256 (0x3c),因此 TLS 握手失败。
图 2:显示握手失败的 Wireshark 转储的屏幕截图
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
Wireshark 转储显示客户端不接受 AES256-SHA256 (0x3d) 或 AES128-SHA256 (0x3c),因此 TLS 握手失败。
图 2:显示握手失败的 Wireshark 转储的屏幕截图
Resolution
修改交换机 HTTPS 密码设置以覆盖客户端。
示例:
在此示例中,当前 HTTPS 密码设置为“!ECDH:!DH:HIGH:-MD5:!茶花:!SRP:!Psk:!AESGCM:!SSLv3“
要启用 AES256-GCM-SHA384 (0x9d) 和 AES128-GCM-SHA256 (0x9c),请删除 ”!“AESGCM”,从 设置中使用以下命令:
示例:
在此示例中,当前 HTTPS 密码设置为“!ECDH:!DH:HIGH:-MD5:!茶花:!SRP:!Psk:!AESGCM:!SSLv3“
要启用 AES256-GCM-SHA384 (0x9d) 和 AES128-GCM-SHA256 (0x9c),请删除 ”!“AESGCM”,从 设置中使用以下命令:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
Additional Information
使用 Mozilla 文档“Security/Cipher Suites - MozillaWiki”使用 IANA 密码名称(显示在 Wireshark 转储中)映射 OpenSSL 密码名称(在 OpenSSL 命令中显示)
Affected Products
Connectrix B-SeriesArticle Properties
Article Number: 000213633
Article Type: Solution
Last Modified: 25 Aug 2023
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.