ファイアウォールによって送信された RST が原因で SSL/TLS ハンドシェイクが失敗する

最後の更新
PDFとして保存

Views:: 22

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: nas

Last Updated:

環境

ONTAP 9
SSL/TLSハンドシェイク
OpsRamp
Palo Alto Firewall

問題

クライアントはONTAPとのSSL/TLSハンドシェイクを実行できません
OpsRamp監視ツールはエラーのためにNetAppの検出を実行できず、SSL接続が切断されます
- No peer certificate available: The client did not receive a certificate from the server, which is required for SSL/TLS handshake
ONTAPパケットトレースは、ONTAPがクライアントIP/ファイアウォールMACに Server Hello を送信し、クライアントIP/ファイアウォールMACがRSTを送信することを示しています
クライアントパケットトレースは、クライアントが Server Helloを受信せず、ONTAP IP/ファイアウォールMACからRST を受信することを示しています

LIFの同じサブネット内のクライアントがTLSハンドシェイクを試行すると成功します。これは、クライアントとLIFの間にファイアウォールがないためです

[fchen@localhost ~]$ openssl s_client -connect 10.216.29.203:443 CONNECTED(00000004) depth=0 CN = nas-cm913, C = US verify error:num=18:self signed certificate verify return:1 depth=0 CN = nas-cm913, C = US verify error:num=10:certificate has expired notAfter=Sep 28 20:08:03 2024 GMT verify return:1 depth=0 CN = nas-cm913, C = US notAfter=Sep 28 20:08:03 2024 GMT verify return:1 --- Certificate chain 0 s:CN = nas-cm913, C = US i:CN = nas-cm913, C = US --- Server certificate -----BEGIN CERTIFICATE-----