kaineanung
Goto Top

CSR auf dem Aruba 2930f erstellen - Button ist jedoch deaktiviert?

Hallo Leute,

ich bin gerade dabei in unserem Firmen-Netzwerk eigene (Geräte-) Zertifikate zu erstellen mit dafür eigens aufgebauter CA (bzw. PKI).
Jetzt habe ich schon einige Zertifikate auf diverse Geräte installiert (vornehmlich für die Webinterfaces) und es klappt genau so wie ich es mir vorstelle.

u.A. sollen auch unsere Switche mit Webserver-Zertifikaten ausgestattet werden.
Angefangen habe ich mit unseren etwas älteren HP / Aruba 2930f-Switchen.

Beim ersten SW hat das wunderbar geklappt über dessen Weboberfläche (CSR generieren, an unserer neuen CA signiert, Fullchain erstellt mit dem neuen Zertifikat und diese FC dann auf dem SW installiert. SSL aktiviert und sogar 'requierd' gesetzt so daß HTTP gar nicht mehr akzeptiert wird).

So, jetzt bin ich beim zweiten Switch der gleichen Baureihe (also Aruba 2930f) angelangt und sehe das ich leider kein 'Create CSR' klicken kann weil dieser Button ausgegraut ist und keinerlei Funktion bietet.

So, die Frage nun: was läuft hier falsch? Warum ist dieser Button ausgegraut? Wie aktiviere ich diesen wieder?
Wenn die Weboberfläche diese Funktion nicht anbietet, besteht die Möglichkeit das es per CLI funktioniert oder wird es da dann auch nicht gehen? (Das frage ich nur um abzuwägen ob ich mich mit der CLI befassen soll oder es sein lasse wenn es dann auch nicht funktionieren würde weil ich z.B. das Problem nur mit einer Firmware-Aktualisierung beheben kann -> ich muss mich da aber erst von Grund auf einlesen da ich das niemals gemacht habe und die Zeit dafür jetzt nicht habe).

Kann mir jemand, der die Geräte kennt oder ähnliche Probleme mit den Arubas hatte, erklären was da los ist und wie ich es beheben kann?

Schon einmal vielen lieben Dank für die Mühe und wenn es nur für das Lesen bis hierhin ist!

Content-Key: 64007136753

Url: https://administrator.de/contentid/64007136753

Printed on: May 25, 2024 at 09:05 o'clock

Member: Pjordorf
Pjordorf Jan 03, 2024 at 20:50:46 (UTC)
Goto Top
Hallo,

Zitat von @kaineanung:
So, die Frage nun: was läuft hier falsch? Warum ist dieser Button ausgegraut? Wie aktiviere ich diesen wieder?
Gerät schon neu gestartet bzw. komplett Stromlos gemacht?
Firmware ist welche auf deinen Switchen?
Browser Probleme ausgeschlossen?

Gruß,
Peter
Member: Crusher79
Crusher79 Jan 03, 2024 updated at 20:55:49 (UTC)
Goto Top
Moin nicht bei Zertifikaten ...

SNMP v3 mit engine id Fehler. Da trotz neuer Firmeware die nicht generiert wird. Trick war hart in die config eine zuschreiben und hochzuladen.

Aruba wurde mir so vorgesetzt. Könnte bei dir ähnlich sein. Ich konnte es via google im engl. Aruba Foren lösen.

Normal sollten doch nur IP, VLAN und Interfaces von Gerät zu Gerät anders sein. Du kannst ja mal Config ziehen und vergleichen - Texteditor. Ob dir hier Abschnitte auffallen.

Waren Aruba 1930 mit den SNMPv3 Problem ....
Member: kaineanung
kaineanung Jan 03, 2024 at 22:48:23 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @kaineanung:
So, die Frage nun: was läuft hier falsch? Warum ist dieser Button ausgegraut? Wie aktiviere ich diesen wieder?
Gerät schon neu gestartet bzw. komplett Stromlos gemacht?
Firmware ist welche auf deinen Switchen?
Browser Probleme ausgeschlossen?

Gruß,
Peter

  • Geräte waren im Laufe des letzten Jahres einmal Stromlos (Trafotausch). Ist aber bestimmt schon 10 Monate her.
  • Firmware sind unterschiedliche gewesen (16.02, 16.04 und 16.10 wenn ich mich nicht ganz arg täusche, kann ich morgen aber nochmals nachprüfen -> aber > 90% hatten ein deaktivierten Button für das generieren der CSR wie sich herausgestellt hatte nach meinem Initial-Post)
  • Habe es mit unserem Standard-Browser in der neusten Version versucht (Firefox). Morgen schaue ich mir das mal mit dem Edge an und werde berichten. Wie gesagt: bei bisher mindestens 2 Geräten war der CSR-Button aktiv. Die hatten auch eine ganze Liste voll mit Trusted Anchors und der Rest nur eine leere Liste? Vielleicht spielt das eine Rolle? Aber warum sind die dann leer? Ich habe nichts gelöscht und sonst auch niemand...
Member: kaineanung
kaineanung Jan 03, 2024 at 22:50:58 (UTC)
Goto Top
Zitat von @Crusher79:

Moin nicht bei Zertifikaten ...

SNMP v3 mit engine id Fehler. Da trotz neuer Firmeware die nicht generiert wird. Trick war hart in die config eine zuschreiben und hochzuladen.

Aruba wurde mir so vorgesetzt. Könnte bei dir ähnlich sein. Ich konnte es via google im engl. Aruba Foren lösen.

Normal sollten doch nur IP, VLAN und Interfaces von Gerät zu Gerät anders sein. Du kannst ja mal Config ziehen und vergleichen - Texteditor. Ob dir hier Abschnitte auffallen.

Waren Aruba 1930 mit den SNMPv3 Problem ....

Das werde ich morgen auch mal machen (sofern ich dazu komme. Ist eigentlich nur eine 'Nebenaufgabe' mit den Switchen). Ich kann aber jetzt schon sagen: die Liste mit den TA (Trusted Anchors) ist bei all den Geräten leer bei dem der Button 'Create CSR' deaktiviert war. Der andere Button (der für das Generieren des selfSigned-Zertifikats) ist bei allen jedoch aktiv.
Member: kaineanung
Solution kaineanung Jan 04, 2024 at 16:13:36 (UTC)
Goto Top
Leute, ich habe es selber gelöst. Eigentlich habe ich mir die Antwort bereits im letzten Post genannt:
Die Liste der TA darf nicht leer sein. Ich habe einen TA installiert (in dem Falle einfach mein Root-CA) und dann war der Button 'Create CSR' plötzlich verfügbar.
Dann habe ich einfach eine CSR erstellt, signiert und das FC installiert und es funktioniert.


Also alle die das selbe Problem mit dem deaktiviertem Button 'Create CSR' in einem Aruba-Switch haben (in meinem Fall ist es die 29xx-Reihe (2930 und 2920)) -> Liste mit den 'Trust Anchor (TA) Certificates' darf nicht leer sein! Einfach einen TA installieren (bei mir konnte ich einfach das Zertifikat vom Root-CA installieren und die Frage ob ein 'Default-Profil' angelegt werden soll mit 'Ja' beantworten (wahrscheinlich reicht es aus wenn man nur das Profil erstellen könnte)) und der Button ist nutzbar. Ab hier dann wie gehabt CSR erstellen -> zertifizieren -> wieder einspielen und Haken bei 'SSL: Enabled' setzen.

Viel Erfolg!