ファイアウォールによって送信された RST が原因で SSL/TLS ハンドシェイクが失敗する
環境
- ONTAP 9
- SSL/TLSハンドシェイク
- OpsRamp
- Palo Alto Firewall
問題
- クライアントはONTAPとのSSL/TLSハンドシェイクを実行できません
- OpsRamp監視ツールはエラーのためにNetAppの検出を実行できず、SSL接続が切断されます
No peer certificate available: The client did not receive a certificate from the server, which is required for SSL/TLS handshake
- ONTAPパケットトレースは、ONTAPがクライアントIP/ファイアウォールMACに
Server Helloを送信し、クライアントIP/ファイアウォールMACがRSTを送信することを示しています - クライアントパケットトレースは、クライアントが
Server Helloを受信せず、ONTAP IP/ファイアウォールMACからRSTを受信することを示しています - LIFの同じサブネット内のクライアントがTLSハンドシェイクを試行すると成功します。これは、クライアントとLIFの間にファイアウォールがないためです
[fchen@localhost ~]$ openssl s_client -connect 10.216.29.203:443 CONNECTED(00000004) depth=0 CN = nas-cm913, C = US verify error:num=18:self signed certificate verify return:1 depth=0 CN = nas-cm913, C = US verify error:num=10:certificate has expired notAfter=Sep 28 20:08:03 2024 GMT verify return:1 depth=0 CN = nas-cm913, C = US notAfter=Sep 28 20:08:03 2024 GMT verify return:1 --- Certificate chain 0 s:CN = nas-cm913, C = US i:CN = nas-cm913, C = US --- Server certificate -----BEGIN CERTIFICATE-----