客戶傳一張圖片說Aruba Controller突然無法使用瀏覽器開啟WebUI,一開始我以為是TLS11.0、1.1、1.2等級的問題,提出可以升級的需求。
後面發現,從六升到八版本後,還是無法解決瀏覽器(Chrome)開啟WebUI的問題,看提示,是「憑證」的議題。
最近也用過很多Aruba控制器WebUI,一樣也是原廠憑證,就能順利開起來,兩者的憑證到底有什麼差異?
如果用Chrome無法順利開啟的憑證,在「憑證金鑰用途」會是寫著「嚴重」。
如果是正常的,在憑證金鑰用途會寫著「重要」……
依據相關文章討論,是因為之前的憑證是被一個公共的CA簽署,但是該CA撤銷,連帶憑證在Chrome上無法正常使用。
而「解法」就是重新簽署一張憑證,然後套在控制器上。
簽署憑證,首推OpenSSL去自簽一張出來。
ssl.conf
[req]
prompt = no
default_md = sha256
default_bits = 2048
distinguished_name = dn
[dn]
C = US
CN = Aruba7030
O = Aruba Network透過openssl,依照ssl.conf生成一張憑證。
以下是我慣用的指令,我的openssl路徑可能跟其他人不同。通常每張憑證我會新建一個資料夾,然後自訂ssl.conf放入資料夾,然後輸入cmd,再依序輸下方指令,然後產出pfx。
C:\OpenSSL\bin\openssl.exe req -x509 -new -nodes -sha256 -utf8 -days 3650 -newkey rsa:2048 -keyout server.key -out server.crt -config ssl.conf
C:\OpenSSL\bin\openssl.exe pkcs12 -export -in server.crt -inkey server.key -out server.pfx在Aruba控制器上匯入pfx憑證,並且「Pending Changes」。
然後在System > Profiles > Other Profiles > Web Server Configuration,將「Switch Certificate」選擇新上傳的憑證,然後Pending Changes。
接著WebUI就會使用新憑證,就能修復因為原廠憑證問題導致Chrome無法連線WebUI的狀況。
