Connectrix B-Series：使用 HTTPS 存取 WebTools UI 時，網頁瀏覽器會報告「加密不相符，沒有相符的加密」

Table of Contents

Detailed Article

Symptoms

Cause

Resolution

Additional Info

Affected Products

Provide Feedback

Summary: TLS 封鎖 AES256-SHA256 （0x3d）和 AES128-SHA256 （0x3c）。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Check out other resources

Symptoms

網頁瀏覽器（Chrome、New Edge 或 Firefox）拒絕使用 HTTPS 開啟 Web 工具。

錯誤訊息包含「Cipher Mismatch」或「No Matching Ciphers」。

圖 1：錯誤訊息的螢幕擷取畫面，顯示連線不安全、不支援的通訊協定

交換器正在 FOS 8.1 或 8.2 韌體中執行。

Cause

交換器 HTTPS 加密設定僅允許 TLS 1.2 的 AES256-SHA256 和 AES128-SHA256 （FOS 8.1 或 8.2 的「default_generic」或「default_strong範本」）。

:root> seccryptocfg --show | grep HTTPS
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3
HTTPS                    : TLSv1.2

 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3'
AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

Wireshark 傾印顯示用戶端不接受 AES256-SHA256 （0x3d）或 AES128-SHA256 （0x3c），因此 TLS 交握失敗。

圖 2：Wireshark 傾印的螢幕擷取畫面，顯示交握失敗

Resolution

修改交換器 HTTPS 加密設定以覆蓋用戶端。

範例：
在此範例中，目前的 HTTPS 加密設定為「！ECDH：！DH：高：-MD5：！茶花：！SRP：！Psk：！AESGCM：！SSLv3「

若要啟用 AES256-GCM-SHA384 （0x9d）和 AES128-GCM-SHA256 （0x9c），請移除「！使用命令從設定中的 AESGCM：

seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'

Additional Information

使用 Mozilla 檔、Security/Cipher Suites - MozillaWiki將 OpenSSL 加密名稱（顯示在 OpenSSL 命令中）與 IANA 加密名稱（顯示在 Wireshark 傾印中）對應

Affected Products

Connectrix B-Series

Article Number: 000213633

Article Type: Solution

Last Modified: 25 Aug 2023

Version: 5

Check if your device is covered by Support Services.

Connectrix B-Series：使用 HTTPS 存取 WebTools UI 時，網頁瀏覽器會報告「加密不相符，沒有相符的加密」