Connectrix B 系列:使用 HTTPS 访问 WebTools UI 时,Web 浏览器报告“密码不匹配,无匹配密码”
概要: 对于 TLS,AES256-SHA256 (0x3d) 和 AES128-SHA256 (0x3c) 被阻止。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Web 浏览器(Chrome、New Edge 或 Firefox)拒绝使用 HTTPS 打开 Web 工具。
错误消息包含“密码不匹配”或“无匹配密码”。
图 1:显示连接不安全、不支持的协议的错误消息的屏幕截图
交换机在 FOS 8.1 或 8.2 固件中运行。
错误消息包含“密码不匹配”或“无匹配密码”。
图 1:显示连接不安全、不支持的协议的错误消息的屏幕截图
交换机在 FOS 8.1 或 8.2 固件中运行。
原因
交换机 HTTPS 密码设置仅允许 AES256-SHA256 和 AES128-SHA256 用于 TLS 1.2(FOS 8.1 或 8.2 的“default_generic”或“default_strong模板”)。
Wireshark 转储显示客户端不接受 AES256-SHA256 (0x3d) 或 AES128-SHA256 (0x3c),因此 TLS 握手失败。
图 2:显示握手失败的 Wireshark 转储的屏幕截图
:root> seccryptocfg --show | grep HTTPS HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3 HTTPS : TLSv1.2 openssl ciphers -v '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM:!SSLv3' AES256-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(256) Mac=SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
Wireshark 转储显示客户端不接受 AES256-SHA256 (0x3d) 或 AES128-SHA256 (0x3c),因此 TLS 握手失败。
图 2:显示握手失败的 Wireshark 转储的屏幕截图
解決方法
修改交换机 HTTPS 密码设置以覆盖客户端。
示例:
在此示例中,当前 HTTPS 密码设置为“!ECDH:!DH:HIGH:-MD5:!茶花:!SRP:!Psk:!AESGCM:!SSLv3“
要启用 AES256-GCM-SHA384 (0x9d) 和 AES128-GCM-SHA256 (0x9c),请删除 ”!“AESGCM”,从 设置中使用以下命令:
示例:
在此示例中,当前 HTTPS 密码设置为“!ECDH:!DH:HIGH:-MD5:!茶花:!SRP:!Psk:!AESGCM:!SSLv3“
要启用 AES256-GCM-SHA384 (0x9d) 和 AES128-GCM-SHA256 (0x9c),请删除 ”!“AESGCM”,从 设置中使用以下命令:
seccryptocfg --replace -type https -cipher '!ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!SSLv3'
その他の情報
使用 Mozilla 文档“Security/Cipher Suites - MozillaWiki”使用 IANA 密码名称(显示在 Wireshark 转储中)映射 OpenSSL 密码名称(在 OpenSSL 命令中显示)
対象製品
Connectrix B-Series文書のプロパティ
文書番号: 000213633
文書の種類: Solution
最終更新: 25 8月 2023
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。