Connectrix B-Series:使用 HTTPS 存取 WebTools UI 時,網頁瀏覽器會報告「加密不相符,沒有相符的加密」

Summary: TLS 封鎖 AES256-SHA256 (0x3d) 和 AES128-SHA256 (0x3c)。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

網頁瀏覽器 (Chrome、New Edge 或 Firefox) 拒絕使用 HTTPS 開啟 Web 工具。

錯誤訊息包含「Cipher Mismatch」或「No Matching Ciphers」。
 
錯誤訊息的螢幕擷取畫面,顯示連線不安全、不支援的通訊協定
圖 1:錯誤訊息的螢幕擷取畫面,顯示連線不安全、不支援的通訊協定

交換器正在 FOS 8.1 或 8.2 韌體中執行。

Cause

交換器 HTTPS 加密設定僅允許 TLS 1.2 的 AES256-SHA256 和 AES128-SHA256 (FOS 8.1 或 8.2 的「default_generic」或「default_strong範本」)。 
:root> seccryptocfg --show | grep HTTPS
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3
HTTPS                    : TLSv1.2

 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3'
AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

Wireshark 傾印顯示用戶端不接受 AES256-SHA256 (0x3d) 或 AES128-SHA256 (0x3c),因此 TLS 交握失敗。
 
Wireshark 傾印的螢幕擷取畫面,顯示交握失敗
圖 2:Wireshark 傾印的螢幕擷取畫面,顯示交握失敗

Resolution

修改交換器 HTTPS 加密設定以覆蓋用戶端。

範例:
在此範例中,目前的 HTTPS 加密設定為「!ECDH:!DH:高:-MD5:!茶花:!SRP:!Psk:!AESGCM:!SSLv3

若要啟用 AES256-GCM-SHA384 (0x9d) 和 AES128-GCM-SHA256 (0x9c),請移除「!使用命令從設定中的 AESGCM: 
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'

Additional Information

使用 Mozilla 檔、Security/Cipher Suites - MozillaWiki將 OpenSSL 加密名稱 (顯示在 OpenSSL 命令中) 與 IANA 加密名稱 (顯示在 Wireshark 傾印中) 對應 此超連結會帶您前往 Dell Technologies 以外的網站。

Affected Products

Connectrix B-Series
Article Properties
Article Number: 000213633
Article Type: Solution
Last Modified: 25 Aug 2023
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.