Замена HTTPS сертификата на коммутаторе Broadcom Brocade G620 (Fabric OS 9)
Если на оптическом коммутаторе Broadcom Brocade G620 с прошивкой Fabric OS (FOS) версии 9.0 ранее был включен HTTPS и срок действия сертификата истёк, то при попытке доступа ко встроенному веб-серверу коммутатора мы можем столкнуться с невозможностью подключения (веб-сервер будет сбрасывать соединения). Чтобы исправить эту проблему, можно провести замену сертификата, подключившись к коммутатору по протоколу SSH.
Подключившись к FOS по SSH, проверим данные о сертификате, который установлен:
> seccertmgmt show -cert https
Issued To
countryName = RU
stateOrProvinceName = Komi republic
localityName = Vorkuta
organizationName = IT Company Ltd.
organizationalUnitName = IT Dept
commonName = KOM-SW41.holding.com
Issued By
domainComponent = com
domainComponent = holding
commonName = KOM-IT-CA
Period Of Validity
Begins On Aug 17 11:31:02 2022 GMT
Expires On Aug 17 11:41:02 2025 GMT
...Как видно из нашего примера, дата в строке «Expires On» старше текущей, значит сертификат просрочен.
Сгенерируем запрос к корпоративному ЦС. В ходе выполнения запроса нас предупредят о том, что текущий сертификат будет удалён и попросят подтверждения. После этого нужно будет ответить на запросы атрибутов сертификата.
> seccertmgmt generate -csr https -type rsa -keysize 4096 -hash sha256 -years 3 Generating a CSR will automatically do the following: 1. Delete all existing CSRs. 2. Delete existing switch certificate. 3. Reset the certificate filename to none. Warning: Key-pair generation is CPU intensive and can cause high CPU usage Private IPs and hostnames should not be part of SCN and/or SAN per CA/Browser forum. Continue (yes, y, no, n): [no] yes Country Name (2 letter code, eg, US):RU State or Province Name (full name, eg, California):Komi republic Locality Name (eg, city name):Vorkuta Organization Name (eg, company name):IT Company Ltd. Organizational Unit Name (eg, department name):IT Dept Common Name (Fully qualified Domain Name, or IP address):KOM-SW41.holding.com Do you want to continue including IP in the SAN? (yes, y, no, n): [no] yes Generating CSR, file name is: 10.1.102.21.csr
Запрос сгенерирован и сохранён на коммутаторе. Чтобы просмотреть и скопировать запрос в формате Base64, выполним:
> seccertmgmt show -csr https -hexdump -----BEGIN CERTIFICATE REQUEST----- MIIFODCCAyACAQAwgYsxCzAJBgNVBAYTAlJVMRYwFAYDVQQIDA1Lb21pIHJlcHVi MAsGA1UECwwES29taTEqMCgGA1UEAwwhS09NLUFEMDEtU1c5MzEuYWQuaWVzLWhv ... YLVBVvCP6VRNSbLHkr7oF2PtdLvQYmZbElciMmHZWK9d4siMotNd4bmCyPZRAlVR AyK2I35uHLAguPcKu2oV+I3N/neVX+JkfY/ayT22K2l5I+ILpYjARysua8A= -----END CERTIFICATE REQUEST-----
Передаём запрос в корпоративный ЦС и в ответ получаем сертификат в формате Base64:
- SW41.pem
-----BEGIN CERTIFICATE----- MIIGjjCCBHagAwIBAgITSgAABAIOiQA1JecaAQAAAAAEAjANBgkqhkiG9w0BAQsF ADBMMRMwEQYKCZImiZPyLGQBGRYDY29tMRswGQYKCZImiZPyLGQBGRYLaWVzLWhv ... F5iaMGLIQb+PjV/QLi3HQKWsXMwvbsRus6fPGrgzqHEWfr9Pvv6yNvICSSOwsM6C 3l5/8mk/kuTa5WXofruEpNta2uV0NgjjqGZ6vNOAvvDmID8th9a80b4y6PNciXwJ VP4= -----END CERTIFICATE-----
Нам необходимо сохранить полученный файл сертификата (а также файл сертификата самого ЦС) на каком-то компьютере, к которому можно подключиться с коммутатора по протоколу SSH.
В нашем примере файл сертификата для коммутатора (SW41.pem) и файл сертификата ЦС (CA.pem) сохранены на компьютер с IP адресом 10.1.1.2 в каталоге /tmp
Перейдём обратно на коммутатор и сначала выполним установку сертификата ЦС (пароль пользователя для подключения к удалённой системе по SSH будет запрошен отдельно):
> seccertmgmt import -ca -server https -protocol scp -ipaddr 10.1.1.2 \ -remotedir /tmp -certname CA.pem -login petya petya@10.1.1.2's password: ******** Success: imported https certificate [CA.pem]. Certificate file in configuration has been updated.
После успешной установки сертификата ЦС выполняем установку сертификата для самого коммутатора:
> seccertmgmt import -cert https -protocol scp \ -ipaddr 10.1.1.2 -remotedir /tmp -certname SW41.pem -login petya petya@10.1.1.2's password:******** Success: imported https certificate [SW41.pem]. Certificate file in configuration has been updated. Secure http has been enabled.
Теперь осталось убедится в том, что при запросе коммутатор выдаёт новый сертификат:
> seccertmgmt show -cert https
Issued To
countryName = RU
stateOrProvinceName = Komi republic
localityName = Vorkuta
organizationName = IT Company Ltd.
organizationalUnitName = IT Dept
commonName = KOM-SW41.holding.com
Issued By
domainComponent = com
domainComponent = holding
commonName = KOM-IT-CA
Period Of Validity
Begins On Aug 23 13:44:48 2025 GMT
Expires On Aug 23 13:54:48 2028 GMT
....После этого штатная работа веб-сервера с HTTPS на коммутаторе должна возобновиться.
Проверено на следующих конфигурациях:
| Модель коммутатора | Версия Fabric OS |
|---|---|
| Broadcom Brocade G620 (FOS 9) | 9.0.1c |
Автор первичной редакции:
Алексей Максимов
Время публикации: 25.08.2025 12:27