Cisco-Switch-Webinterface: ERR SSL VERSION OR CIPHER MISMATCH

Hallo,

ich habe hier einige Cisco C9500-40X sowie C9300-48T Switches.

Die Switches lassen sich per SSH einwandfrei und wie gewohnt konfigurieren.

Einzig der Zugriff per Webinterface funktioniert nicht:

Konfiguration für Webserver ist auf allen identisch. Die Configs wurden mit

copy <quelle> running-config

eingespielt (also nicht direkt auf dem Switch ausgeführt).

Eckdaten zu einem beispielhaften C9500-40X:
SW-Version: 16.10.1 (Install-Mode)

switch# ip http server (ist nur temporär zur Fehlersuche aktiv)
switch# ip http authentication local
switch# ip http secure-server

Es wurde nach dem Einspielen der Config auch ein neues Schlüsselpaar über

crypto key generate rsa

generiert.

Ich habe die vorhandenen Keys auch schon über

crypto key zeroise rsa

entfernt und neu generiert.

Ich habe einen Trustpoint konfiguriert

ip http secure-trustpoint TP-self-signed-123456789

Bisher bin ich leider kein Stück weiter gekommen.

Hier noch die Ausgabe von

show ip http server all

HTTP server status: Enabled
HTTP server port: 80
HTTP server active supplementary listener ports:
HTTP server authentication method: local
HTTP server auth-retry 0 time-window 0
HTTP server digest algorithm: md5
HTTP server access class: 0
HTTP server IPv4 access class: None
HTTP server IPv6 access class: None
HTTP server base path:
HTTP File Upload status: Disabled
HTTP server upload path:
HTTP server help root:
Maximum number of concurrent server connections allowed: 50
Maximum number of secondary server connections allowed: 50
Server idle time-out: 180 seconds
Server life time-out: 180 seconds
Server session idle time-out: 600 seconds
Maximum number of requests allowed on a connection: 25
Server linger time : 60 seconds
HTTP server active session modules: ALL
HTTP secure server capability: Present
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite:  3des-ede-cbc-sha aes-128-cbc-sha
        aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
        rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
        ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2 ecdhe-ecdsa-aes-gcm-sha2
HTTP secure server TLS version:  TLSv1.2 TLSv1.1
HTTP secure server client authentication: Disabled
HTTP secure server PIV authentication: Disabled
HTTP secure server trustpoint: TP-self-signed-123456789
HTTP secure server peer validation trustpoint:
HTTP secure server ECDHE curve: secp256r1
HTTP secure server active session modules: ALL

HTTP server application session modules:
 Session module Name  Handle Status   Secure-status     Description
HTTP_IFS              1      Active   Active         HTTP based IOS File Server
NBAR2                 2      Active   Active         NBAR2 HTTP(S) Server
HOME_PAGE             3      Active   Active         IOS Homepage Server
BANNER_PAGE           4      Active   Active         HTTP Banner Page Server
WEB_EXEC              5      Active   Active         HTTP based IOS EXEC Server
GSI7FA17A159470-lic   6      Active   Active         license agent app
GSI7FA174CCEEC0-web   7      Active   Active         wsma infra
GSI7FA17D5E1808-web   8      Active   Active         wsma infra
NG_WEBUI              9      Active   Active         Web GUI


HTTP server current connections:
local-ipaddress:port  remote-ipaddress:port  in-bytes  out-bytes


HTTP server statistics:
Accepted connections total: 76

HTTP server history:
local-ipaddress:port  remote-ipaddress:port  in-bytes  out-bytes  end-time
         0.0.0.0:443      172.22.0.125:6694  0         0          09:00:02  6/03
         0.0.0.0:443     172.22.0.125:34900  0         0          10:07:56 11/03
         0.0.0.0:443     172.22.0.125:34901  0         0          10:07:56 11/03
         0.0.0.0:443     172.22.0.125:34902  0         0          10:07:56 11/03
         0.0.0.0:443     172.22.0.125:34903  0         0          10:07:56 11/03
         0.0.0.0:443     172.22.0.125:34908  0         0          10:08:01 11/03
         0.0.0.0:443     172.22.0.125:34909  0         0          10:08:01 11/03
         0.0.0.0:443     172.22.0.125:35222  0         0          10:58:15 11/03
         0.0.0.0:443     172.22.0.125:35223  0         0          10:58:15 11/03
         0.0.0.0:443     172.22.0.125:35224  0         0          10:58:16 11/03
         0.0.0.0:443     172.22.0.125:35225  0         0          10:58:16 11/03
         0.0.0.0:443     172.22.0.125:35230  0         0          10:58:21 11/03
         0.0.0.0:443     172.22.0.125:35231  0         0          10:58:21 11/03
         0.0.0.0:443     172.22.0.125:35236  0         0          10:58:51 11/03
         0.0.0.0:443     172.22.0.125:35235  0         0          10:58:51 11/03
         0.0.0.0:443     172.22.0.125:35237  0         0          10:58:51 11/03
         0.0.0.0:443     172.22.0.125:35256  0         0          10:59:51 11/03
         0.0.0.0:443     172.22.0.125:35257  0         0          10:59:51 11/03
         0.0.0.0:443     172.22.0.125:35279  0         0          11:04:51 11/03
         0.0.0.0:443     172.22.0.125:35278  0         0          11:04:51 11/03


HTTP server help path:

Ich brauche Hilfe...

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 556473

Url: https://administrator.de/contentid/556473

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

2 Kommentare

Neuester Kommentar

Moin,

Zitat von @malawi:
Es wurde nach dem Einspielen der Config auch ein neues Schlüsselpaar über

crypto key generate rsa

generiert.

Versuch mal

crypto key generate rsa general-keys modulus 2048

Das hast du genau gelesen und auch alles so umgesetzt ?:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software ...
Besonders was Chrome anbetrifft: "The latest versions of Chrome do not support the four original cipher suites..." was ja mehr oder minder exakt deiner Fehlermeldung entspricht.
Leider machst du ja keinerlei Angaben ob du es auch mit alternativen Browsern Firefox etc. ausprobiert hast ?!