「Connectrix B-Series:HTTPSを使用してWebツールUIにアクセスすると、Webブラウザーから「Cipher Mismatch, No Matching Ciphers」と報告される

概要: AES256-SHA256(0x3d)およびAES128-SHA256(0x3c)はTLSでブロックされます。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Webブラウザ(Chrome、New Edge、Firefox)がHTTPSを使用してWebツールを開くことを拒否しました。

エラー メッセージには、「Cipher Mismatch」または「No Matching Ciphers」が含まれています。
 
接続が安全でない、サポートされていないプロトコルを示すエラー メッセージのスクリーンショット
図1: 接続が安全でない、サポートされていないプロトコルを示すエラー メッセージのスクリーンショット

スイッチはFOS 8.1または8.2ファームウェアで実行されています。

原因

スイッチHTTPS暗号設定では、TLS 1.2のAES256-SHA256およびAES128-SHA256のみが許可されます(FOS 8.1または8.2の「default_generic」または「default_strong テンプレート」 )。 
:root> seccryptocfg --show | grep HTTPS
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3
HTTPS                    : TLSv1.2

 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3'
AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256

Wiresharkダンプは、クライアントがAES256-SHA256(0x3d)またはAES128-SHA256(0x3c)を受け入れないため、TLSハンドシェイクが失敗することを示します。
 
ハンドシェイクの失敗を示すWireharkダンプのスクリーンショット
図2:ハンドシェイクの失敗を示すWireharkダンプのスクリーンショット

解決方法

スイッチHTTPS暗号設定を変更して、クライアントをカバーします。

例:
この例では、現在のHTTPS暗号設定は「!Ecdh:!DH:HIGH:-MD5:!椿:!Srp:!Psk:!AESGCM:!SSLv3"

AES256-GCM-SHA384(0x9d)およびAES128-GCM-SHA256(0x9c)を有効にするには、「!AESGCM」というコマンドを使用して設定します。 
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'

その他の情報

Mozillaドキュメント「Security/Cipher Suites - MozillaWiki」を使用して、OpenSSL暗号名(OpenSSLコマンドに表示)を、IANA暗号名(Wiresharkダンプに表示)とマッピングします。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

対象製品

Connectrix B-Series
文書のプロパティ
文書番号: 000213633
文書の種類: Solution
最終更新: 25 8月 2023
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。