Probleemoplossing CommPilot Fout "SSL_ERROR_NO_CIPHER_OVERLAP"

Downloadopties

  • PDF     (305.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:31 januari 2023
Document-id:220174

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe BroadWorks te configureren en problemen op te lossen om de "SSL_ERROR_NO_CIPHER_OVERLAP" fout te voorkomen.

    Voorwaarden

    Vereisten

    Cisco raadt u aan bekend te zijn met het BroadWorks-platform.

    Achtergrondinformatie

    BroadWorks-configuratie

    Voor Broadworks Releases 22 en hoger zijn de protocollen en algoritmen via de CLI configureerbaar via de contexten die op verschillende configuratieniveaus worden gezien.

    'Interface/Port specific - low level'
    CLI/Interface/Http/HttpServer/SSLSettings/Protocols
    CLI/Interface/Http/HttpServer/SSLSettings/Ciphers

    'All interfaces - mid level'
    CLI/Interface/Http/SSLCommonSettings/Protocols
    CLI/Interface/Http/SSLCommonSettings/Ciphers

    'Generic system level - high level'
    CLI/System/SSLCommonSettings/JSSE/Protocols
    CLI/System/SSLCommonSettings/JSSE/Ciphers

    Een context met de naam SSLCommonSettings verwijst naar een minder specifiek item uit de SSL-hiërarchie en een context met de naam SSLSettings verwijst naar een specifieker item uit de hiërarchie.

    Functioneel laboratoriumvoorbeeld

    Configuratie

    Lage configuratie gekoppeld aan de specifieke interface en poort zonder gedefinieerde algoritmen:

    CLI/Interface/Http/HttpServer/SSLSettings/Protocols> get 172.16.30.146 443
    Protocol Name
    ===============
    TLSv1.1
    TLSv1.2
    TLSv1

    CLI/Interface/Http/HttpServer/SSLSettings/Ciphers> get 172.16.30.146 443
    Cipher Name
    =============

    0 entry found.

    Verificatie

    Controleer de configuratie met de curl opdracht:

    $ curl -v -k https://172.16.30.146
    * About to connect() to 172.16.30.146 port 443 (#0)
    * Trying 172.16.30.146...
    * Connected to 172.16.30.146 (172.16.30.146) port 443 (#0)
    * Initializing NSS with certpath: sql:/etc/pki/nssdb
    * skipping SSL peer certificate verification
    * SSL connection using TLS_RSA_WITH_AES_256_CBC_SHA256 <-----
    * Server certificate:
    * subject: E=broadworks_tac@cisco.com,CN=*.calo.cisco.com,OU=BroadworksTAC,O=TestIssuer,ST=Veracruz,C=MX
    * start date: Apr 04 20:39:56 2022 GMT
    * expire date: Apr 04 20:39:56 2023 GMT
    * common name: *.calo.cisco.com
    * issuer: CN=Root CA test,OU=BroadworksTAC,O=TestIssuer,L=Tecolutla,ST=Veracruz,C=MX
    > GET / HTTP/1.1
    > User-Agent: curl/7.29.0
    > Host: 172.16.30.146
    > Accept: */*
    > 
    < HTTP/1.1 302 Found

    Hier is het met succes verbonden via TLSv1.2 met algoritme TLS_RSA_WITH_AES_256_CBC_SHA256.

    Connectiviteitscontrole

    Zo verifieert u de aanvaarde protocollen en coderingen:

    $ nmap -sV --script ssl-enum-ciphers -p 443 172.16.30.146

    Starting Nmap 6.40 ( http://nmap.org ) at 2022-05-09 04:26 EDT
    Nmap scan report for r23xsp01.calo.cisco.com (172.16.30.146)
    Host is up (0.00013s latency).
    PORT STATE SERVICE VERSION
    443/tcp open ssl/https?
    | ssl-enum-ciphers: 
    | TLSv1.0: 
    | ciphers: 
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
    | TLS_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_RSA_WITH_RC4_128_SHA - strong
    | compressors: 
    | NULL
    | TLSv1.1: 
    | ciphers: 
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
    | TLS_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_RSA_WITH_RC4_128_SHA - strong
    | compressors: 
    | NULL
    | TLSv1.2: 
    | ciphers: 
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
    | TLS_ECDHE_RSA_WITH_RC4_128_SHA - strong
    | TLS_RSA_WITH_AES_128_CBC_SHA - strong
    | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
    | TLS_RSA_WITH_AES_256_CBC_SHA - strong
    | TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
    | TLS_RSA_WITH_RC4_128_SHA - strong
    | compressors: 
    | NULL
    |_ least strength: strong

    Laboratoriumvoorbeeld met fout

    Probleem

    Fout waargenomen - "SSL_ERROR_NO_CIPHER_OVERLAP" via de browser.

    # curl -v https://172.16.30.146
    * About to connect() to 172.16.30.146 port 443 (#0) 
    * Trying 172.16.30.146... 
    * Connected to 172.16.30.146 (172.16.30.146) port 443 (#0) 
    * Initializing NSS with certpath: sql:/etc/pki/nssdb * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none 
    * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP) 
    * Cannot communicate securely with peer: no common encryption algorithm(s). 
    * Closing connection 0 curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s).

    Configuratie

    Configuratie op laag niveau gekoppeld aan de specifieke interface en poort met het TLSv1.2-protocol dat is ingesteld met het TLSv1.0-algoritme TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256:

    CLI/Interface/Http/HttpServer/SSLSettings/Protocols> get 172.16.30.146 443
    Protocol Name
    ===============
    TLSv1.2

    CLI/Interface/Http/SSLCommonSettings/Ciphers> get
    Cipher Name
    ======================================
    TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

    Verificatie

    Controleer de configuratie met de curl opdracht:

    $ curl -v -k https://172.16.30.146
    * About to connect() to 172.16.30.146 port 443 (#0)
    * Trying 172.16.30.146...
    * Connected to 172.16.30.146 (172.16.30.146) port 443 (#0)
    * Initializing NSS with certpath: sql:/etc/pki/nssdb
    * NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
    * Cannot communicate securely with peer: no common encryption algorithm(s).
    * Closing connection 0
    curl: (35) Cannot communicate securely with peer: no common encryption algorithm(s).

    Connectiviteitscontrole

    Zo verifieert u de aanvaarde protocollen en coderingen:

    $ nmap -sV --script ssl-enum-ciphers -p 443 172.16.30.146

    Starting Nmap 6.40 ( http://nmap.org ) at 2022-05-09 05:31 EDT
    Nmap scan report for r23xsp01.calo.cisco.com (172.16.30.146)
    Host is up (0.000049s latency).
    PORT STATE SERVICE VERSION
    443/tcp open https?
    | ssl-enum-ciphers: 
    |_ TLSv1.2: No supported ciphers found

    Uit de resultaten van de tool blijkt dat het TLSv1.2 protocol beschikbaar is, maar dat er geen ondersteunde algoritmen zijn.

    Resolutie

    Het TLSv1.1-algoritme verwijderen onder CLI/Interface/Http/SSLCommonSettings/Ciphers , en open vervolgens alle TLSv1.2-algoritmen opnieuw (of voeg een TLSv1.2-algoritme toe).

    CLI/Interface/Http/HttpServer/SSLSettings/Protocols> get 172.16.30.146 443
    Protocol Name
    ===============
    TLSv1.2

    CLI/Interface/Http/HttpServer/SSLSettings/Ciphers> get 172.16.30.146 443
    Cipher Name
    =============
    0 entry found.

    CLI/Interface/Http/SSLCommonSettings/Ciphers> get 
    Cipher Name
    =============
    0 entry found.

    Verificatie van oplossing

    $ curl -v -k https://172.16.30.146
    * About to connect() to 172.16.30.146 port 443 (#0)
    * Trying 172.16.30.146...
    * Connected to 172.16.30.146 (172.16.30.146) port 443 (#0)
    * Initializing NSS with certpath: sql:/etc/pki/nssdb
    * skipping SSL peer certificate verification
    * SSL connection using TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 <-----
    * Server certificate:
    * subject: E=broadworks_tac@cisco.com,CN=*.calo.cisco.com,OU=BroadworksTAC,O=TestIssuer,ST=Veracruz,C=MX
    * start date: Apr 04 20:39:56 2022 GMT
    * expire date: Apr 04 20:39:56 2023 GMT
    * common name: *.calo.cisco.com
    * issuer: CN=Root CA test,OU=BroadworksTAC,O=TestIssuer,L=Tecolutla,ST=Veracruz,C=MX
    > GET / HTTP/1.1
    > User-Agent: curl/7.29.0
    > Host: 172.16.30.146
    > Accept: */*
    > 
    < HTTP/1.1 302 Found
    $ nmap -sV --script ssl-enum-ciphers -p 443 172.16.30.146

    Starting Nmap 6.40 ( http://nmap.org ) at 2022-05-09 05:44 EDT
    Nmap scan report for r23xsp01.calo.cisco.com (172.16.30.146)
    Host is up (0.000063s latency).
    PORT STATE SERVICE VERSION
    443/tcp open https?
    | ssl-enum-ciphers: 
    | TLSv1.2: 
    | ciphers: 
    | TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
    | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
    | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    31-Jan-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Paul Sanderson
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco