思科1242 AP 证书有效期为10年,如果证书到期后,
首先,把WLC升级成ios 7.4.140或者8.0.120以上版本,
其次,在WLC上输入以下命令关闭AP证书的检测功能
config apcert-expiry-ignore {mic|ssc} enable(注意:这个命令只有IOS 7.4.140或者8.0.120以上才有的)
最后,在WLC上设置一下,让AP下载WLC的证书即可
LAP / WLC MIC或SSC寿命到期导致DTLS故障
描述
症状:无线接入点无法连接到无线局域网控制器。
症状1(AP的证书已过期):
在加入失败时,WLC的msglog可能显示类似
如下的消息:
Jul 10 16:13:52.443 spam_lrad.c:6164 LWAPP-3-PAYLOAD_ERR:加入请求证书有效负载中不包含有效证书
- AP 00:11:22:33:44:55
症状2(WLC的制造安装证书已过期):
WLC的MIC过期后,当前加入的AP CAPWAP会话将保持建立。
但是,一旦AP需要重新建立CAPWAP连接,它将失败。
AP记录器将显示类似于以下内容的消息:
* Oct 29 18:01:56.107:%PKI-3-CERTIFICATE_INVALID_EXPIRED:证书链验证失败。
证书(SN:7E3446C40000000CBD95)已过期。有效期结束于14:38:08 UTC十月
26 2021Peer证书验证失败001A
* 10月29日18:01:56.107:DTLS_CLIENT_ERROR:../
capwap/base_capwap /capwap/base_capwap_wtp_dtls.c:496 证书验证失败!
* Oct 29 18:01:56.107:%DTLS-5-SEND_ALERT:发送致命:错误证书警报至192.168.10.10:5246
* 10月29日18:01:56.107:%DTLS-5-SEND_ALERT:发送致命:到192.168.10.10:5246
在WLC端,你只会看到这样的消息:
* osapiBsnTimer:Oct 29 11:05:04.571:#DTLS-3-HANDSHAKE_FAILURE:openssl_dtls.c:2962
无法完成与对等体的DTLS握手192.168.202.8
条件:此症状将在设备制造日期10年后发生。
2005年7月制造了具有MIC的最早的AP(1120,1130,1230,1310系列),
因此这些AP将无法从2015年7月开始加入AireOS控制器。
这个问题在制造日期后约10年也影响WLC
对于使用由升级工具生成的自签名证书(SSCs)的AP,症状将发生在2020年1月1日。
要确定何时创建AP的MIC,请在WLC上运行此命令以查找SN:
(Cisco控制器)> show ap inventory all
库存lap1130-sw3-9
名称:“思科AP”,DESCR:“思科无线接入点”
PID:AIR-LAP1131AG-E-K9,VID:V01,
FCZ1128Q0PE 名:“Dot11Radio0”,DESCR:“802.11G无线”
PID:未知,VID:,SN:GAM112706LC
名字:“Dot11Radio1”,DESCR:“802.11a无线电”
PID:未知,VID:,SN:ALP112706LC
美联社底盘SN位于输出的第一部分,例如:PID:AIR-LAP1131AG-E-K9,VID:V01,SN:FCZ1128Q0PE
序列号格式为:“LLLYYWWSSSS”; 其中“YY”是制造年份,“WW”是制造周期。日期代码可以在序列号的4个中间数字中找到。
制造年份代码:
01 = 1997 06 = 2002 11 = 2007 16 = 2012
02 = 1998 07 = 2003 12 = 2008 17 = 2013
03 = 1999 08 = 2004 13 = 2009 18 = 2014
04 = 2000 09 = 2005 14 = 2010
05 = 2001 10 = 2006年15 = 2011
制造周代码:
1-5:1月15日至18日:4月28日至31日7月41-44:年10月
6-9:2月19日至22日:32-35五月八月45-48:十一月
10- 14:3月23 - 27日:6月36-40:9月49-52:12
示例:SN FCZ1128Q0PE的年代码为11,意味着它于2007年制造。周代码为12,意味着它在3月制造。
还可以使用Prime Infrastructure Reporting找到所有AP的SN的SN。
解决方法:
CCO for 7.0,7.4,8.x中提供了带有修订的代码
对于7.6,
您可以联系TAC获取升级代码,尽管建议转移到8.0以备将来支持在故障情况下恢复AP:
注意:此解决方法应仅用于允许已过期证书的AP加入WLC足够长时间升级软件。
如果证书已过期,请禁用NTP,然后将WLC时钟时间更改为最近更早的时间,当证书仍然有效时。如果将时钟设置得太远,较新的AP可能无法加入。一旦软件已升级,并且受影响的AP已加入,则WLC时钟应重置为有效时间。
解决方案:
思科已经发布了AireOS 7.0.252.0,并将于2015年4月发布7.4版本的重建版本,并于2015年6月发布8.0版本。
这些重建将实施新的CLI命令,以在WLC上禁用
MIC和SSC的生存期有效性检查。默认情况下,命令将被禁用,即具有过期MIC和SSC的AP将无法加入。
升级到新的重建后,使用新命令禁用
终生有效性检查,允许具有10年以上MIC或SSC的AP 加入。
本文出自 “IT无忧吧” 博客,请务必保留此出处http://it568.blog.51cto.com/4060643/1908449
原文地址:http://it568.blog.51cto.com/4060643/1908449