===== Замена HTTPS сертификата на коммутаторе Broadcom Brocade G620 (Fabric OS 9) =====
{{.:pasted:20250825-094212.png }} Если на оптическом коммутаторе **Broadcom Brocade G620** с прошивкой **Fabric OS** (**FOS**) версии **9.0** ранее был включен **HTTPS** и срок действия сертификата истёк, то при попытке доступа ко встроенному веб-серверу коммутатора мы можем столкнуться с невозможностью подключения (веб-сервер будет сбрасывать соединения). Чтобы исправить эту проблему, можно провести замену сертификата, подключившись к коммутатору по протоколу **SSH**.
Подключившись к FOS по SSH, проверим данные о сертификате, который установлен:
> seccertmgmt show -cert https
Issued To
countryName = RU
stateOrProvinceName = Komi republic
localityName = Vorkuta
organizationName = IT Company Ltd.
organizationalUnitName = IT Dept
commonName = KOM-SW41.holding.com
Issued By
domainComponent = com
domainComponent = holding
commonName = KOM-IT-CA
Period Of Validity
Begins On Aug 17 11:31:02 2022 GMT
Expires On Aug 17 11:41:02 2025 GMT
...
Как видно из нашего примера, дата в строке "Expires On" старше текущей, значит сертификат просрочен.
Сгенерируем запрос к корпоративному ЦС.
В ходе выполнения запроса нас предупредят о том, что текущий сертификат будет удалён и попросят подтверждения.
После этого нужно будет ответить на запросы атрибутов сертификата.
> seccertmgmt generate -csr https -type rsa -keysize 4096 -hash sha256 -years 3
Generating a CSR will automatically do the following:
1. Delete all existing CSRs.
2. Delete existing switch certificate.
3. Reset the certificate filename to none.
Warning:
Key-pair generation is CPU intensive and can cause high CPU usage
Private IPs and hostnames should not be part of SCN and/or SAN per CA/Browser forum.
Continue (yes, y, no, n): [no] yes
Country Name (2 letter code, eg, US):RU
State or Province Name (full name, eg, California):Komi republic
Locality Name (eg, city name):Vorkuta
Organization Name (eg, company name):IT Company Ltd.
Organizational Unit Name (eg, department name):IT Dept
Common Name (Fully qualified Domain Name, or IP address):KOM-SW41.holding.com
Do you want to continue including IP in the SAN? (yes, y, no, n): [no] yes
Generating CSR, file name is: 10.1.102.21.csr
Запрос сгенерирован и сохранён на коммутаторе.
Чтобы просмотреть и скопировать запрос в формате Base64, выполним:
> seccertmgmt show -csr https -hexdump
-----BEGIN CERTIFICATE REQUEST-----
MIIFODCCAyACAQAwgYsxCzAJBgNVBAYTAlJVMRYwFAYDVQQIDA1Lb21pIHJlcHVi
MAsGA1UECwwES29taTEqMCgGA1UEAwwhS09NLUFEMDEtU1c5MzEuYWQuaWVzLWhv
...
YLVBVvCP6VRNSbLHkr7oF2PtdLvQYmZbElciMmHZWK9d4siMotNd4bmCyPZRAlVR
AyK2I35uHLAguPcKu2oV+I3N/neVX+JkfY/ayT22K2l5I+ILpYjARysua8A=
-----END CERTIFICATE REQUEST-----
Передаём запрос в корпоративный ЦС и в ответ получаем сертификат в формате Base64:
-----BEGIN CERTIFICATE-----
MIIGjjCCBHagAwIBAgITSgAABAIOiQA1JecaAQAAAAAEAjANBgkqhkiG9w0BAQsF
ADBMMRMwEQYKCZImiZPyLGQBGRYDY29tMRswGQYKCZImiZPyLGQBGRYLaWVzLWhv
...
F5iaMGLIQb+PjV/QLi3HQKWsXMwvbsRus6fPGrgzqHEWfr9Pvv6yNvICSSOwsM6C
3l5/8mk/kuTa5WXofruEpNta2uV0NgjjqGZ6vNOAvvDmID8th9a80b4y6PNciXwJ
VP4=
-----END CERTIFICATE-----
Нам необходимо сохранить полученный файл сертификата (а также файл сертификата самого ЦС) на каком-то компьютере, к которому можно подключиться с коммутатора по протоколу SSH.
В нашем примере файл сертификата для коммутатора (SW41.pem) и файл сертификата ЦС (CA.pem) сохранены на компьютер с IP адресом 10.1.1.2 в каталоге /tmp
Перейдём обратно на коммутатор и сначала выполним установку сертификата ЦС (пароль пользователя для подключения к удалённой системе по SSH будет запрошен отдельно):
> seccertmgmt import -ca -server https -protocol scp -ipaddr 10.1.1.2 \
-remotedir /tmp -certname CA.pem -login petya
petya@10.1.1.2's password: ********
Success: imported https certificate [CA.pem].
Certificate file in configuration has been updated.
После успешной установки сертификата ЦС выполняем установку сертификата для самого коммутатора:
> seccertmgmt import -cert https -protocol scp \
-ipaddr 10.1.1.2 -remotedir /tmp -certname SW41.pem -login petya
petya@10.1.1.2's password:********
Success: imported https certificate [SW41.pem].
Certificate file in configuration has been updated.
Secure http has been enabled.
Теперь осталось убедится в том, что при запросе коммутатор выдаёт новый сертификат:
> seccertmgmt show -cert https
Issued To
countryName = RU
stateOrProvinceName = Komi republic
localityName = Vorkuta
organizationName = IT Company Ltd.
organizationalUnitName = IT Dept
commonName = KOM-SW41.holding.com
Issued By
domainComponent = com
domainComponent = holding
commonName = KOM-IT-CA
Period Of Validity
Begins On Aug 23 13:44:48 2025 GMT
Expires On Aug 23 13:54:48 2028 GMT
....
После этого штатная работа веб-сервера с HTTPS на коммутаторе должна возобновиться.
----
Проверено на следующих конфигурациях:
^ Модель коммутатора ^ Версия Fabric OS ^
| Broadcom Brocade G620 (FOS 9) | 9.0.1c |
----
{{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 25.08.2025 12:27
{{tag>Broadcom Brocade G620 FOS "Fabric OS" "FOS 9" SSL HTTPS }}
~~DISCUSSION~~