Connectrix Brocade：スイッチが、構成済みのセキュアSyslogサーバーとの接続の確立に失敗しています。

secccertmgmtコマンドを使用してセキュアsyslogサーバーのCA証明書をインポートし、syslogadminコマンドを使用してセキュアsyslogサーバーのIPアドレスを設定した後、スイッチはセキュアsyslogサーバーとの接続を確立できません。
 
sw0:admin> seccertmgmt show -all
 
ssh private key:
   Exists
 
ssh public keys available for users:
   None

 

sw0:admin> syslogadmin --show -ip
syslog.1        192.168.0.100     secure: port 5003

現象：
 

syslogサーバーのログには、次のエラーが含まれる場合があります。 Nov 13 20:45:51 syslog01 rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: gnutls returned error on handshake: The TLS connection was non-properly terminated Nov 13 20:45:51 syslog01 rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: unexpected GnuTLS error -12 in nsdsel_gtls.c:178: A TLS fatal alert has been received. Nov 13 20:45:51 syslog01 rsyslogd: rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error Nov 13 20:45:51 syslog01 rsyslogd: netstream session 0x7f993c00e0c0 from 192.168.0.1 will be closed due to error

根本原因:

不明な証明書を受信したため、スイッチはSyslogサーバーとのTLSセッションを拒否します。  これは、Syslogサーバーの証明書にSyslogサーバーのIPアドレスが含まれていないために発生します。  その結果、スイッチは受信した証明書をインポートされた証明書と照合して検証できず、その後接続を終了します。

 

IPアドレスではなく、セキュアSyslogサーバーの完全修飾ドメイン名を使用するようにスイッチ構成をアップデートします。  dnsconfigコマンドを更新して、スイッチがセキュアSyslogサーバーの名前を解決できるようにする必要があります。  完了すると、スイッチはセキュアSyslogサーバーとのセキュアなTLSセッションを確立できるようになります。  

コマンドの例:

dnsconfig --add -domain dns.brocade.com -serverip1 192.168.0.200 syslogadmin --set -ip syslog01.lab.brocade.com -secure -port 5003