我正在尝试在运行版本 5.20.99、版本 2215 的 HP a5120 交换机上配置 HTTPS 管理,但运气不佳。我按照手册首先创建 SSL 策略,然后使用 SSL 策略启用 HTTPS 服务器:
ssl server-policy sslpol
ip https ssl-server-policy sslpol
ip https enable
当我尝试使用 Google Chrome 登录交换机时出现以下错误:
Error 107 (net::ERR_SSL_PROTOCOL_ERROR): SSL protocol error.
当我查找此信息时,我发现了由于在 SSL 中使用 TLS 而导致的错误的参考。我找不到在服务器策略中指定 SSL 版本的方法。
该手册有一个使用 MSCEP 检索证书的配置示例,但在 Windows 2008 R2 中,该功能仅在企业版和数据中心版中可用,而我没有。
我已经配置了 SSH,并且它正在使用本地生成的证书,所以我不确定是否可以使用它,但如果可能的话我愿意使用它。
有谁能够在没有 MSCEP 的情况下在 HP A 系列交换机上设置 HTTPS 管理?
非常感谢您的帮助!
这是我的配置的副本,其中删除了接口:
version 5.20.99, Release 2215
#
sysname MYSYSNAME
#
irf domain 10
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
#
domain default enable system
#
telnet server enable
#
vlan 1
#
vlan 100
description Management
#
radius scheme system
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
group-attribute allow-guest
#
local-user admin
password cipher
authorization-attribute level 3
service-type ssh telnet terminal
service-type web
#
stp enable
#
ssl server-policy sslpol
pki-domain MYDOMAIN
#
interface NULL0
#
interface Vlan-interface199
ip address 192.168.199.140 255.255.255.0
#
interface GigabitEthernet1/0/1
poe enable
stp edged-port enable
#
interface Ten-GigabitEthernet2/1/2
#
dhcp-snooping
#
ntp-service unicast-server 192.168.1.71
#
ssh server enable
#
ip https ssl-server-policy sslpol
ip https enable
#
load xml-configuration
#
user-interface aux 0 1
user-interface vty 0 15
authentication-mode scheme
答案1
HP 的规格没有指定管理界面使用的 SSL 版本,但 Google Chrome 默认禁用 SSL 2.0。尝试在选项 - 后台 - 安全 - 管理证书下启用所有可能的 SSL 版本,然后重试。使用 wireshark 也可以验证是否存在 SSL 版本不匹配的情况。