思科1242 AP 證書有效期爲10年,如果證書到期後,
首先,把WLC升級成ios 7.4.140或者8.0.120以上版本,
其次,在WLC上輸入以下命令關閉AP證書的檢測功能
config apcert-expiry-ignore {mic|ssc} enable(注意:這個命令只有IOS 7.4.140或者8.0.120以上纔有的)
最後,在WLC上設置一下,讓AP下載WLC的證書即可
LAP / WLC MIC或SSC壽命到期導致DTLS故障
描述
症狀:無線接入點無法連接到無線局域網控制器。
症狀1(AP的證書已過期):
在加入失敗時,WLC的msglog可能顯示類似
如下的消息:
Jul 10 16:13:52.443 spam_lrad.c:6164 LWAPP-3-PAYLOAD_ERR:加入請求證書有效負載中不包含有效證書
- AP 00:11:22:33:44:55
症狀2(WLC的製造安裝證書已過期):
WLC的MIC過期後,當前加入的AP CAPWAP會話將保持建立。
但是,一旦AP需要重新建立CAPWAP連接,它將失敗。
AP記錄器將顯示類似於以下內容的消息:
* Oct 29 18:01:56.107:%PKI-3-CERTIFICATE_INVALID_EXPIRED:證書鏈驗證失敗。
證書(SN:7E3446C40000000CBD95)已過期。有效期結束於14:38:08 UTC十月
26 2021Peer證書驗證失敗001A
* 10月29日18:01:56.107:DTLS_CLIENT_ERROR:../
capwap/base_capwap /capwap/base_capwap_wtp_dtls.c:496 證書驗證失敗!
* Oct 29 18:01:56.107:%DTLS-5-SEND_ALERT:發送致命:錯誤證書警報至192.168.10.10:5246
* 10月29日18:01:56.107:%DTLS-5-SEND_ALERT:發送致命:到192.168.10.10:5246
在WLC端,你只會看到這樣的消息:
* osapiBsnTimer:Oct 29 11:05:04.571:#DTLS-3-HANDSHAKE_FAILURE:openssl_dtls.c:2962
無法完成與對等體的DTLS握手192.168.202.8
條件:此症狀將在設備製造日期10年後發生。
2005年7月製造了具有MIC的最早的AP(1120,1130,1230,1310系列),
因此這些AP將無法從2015年7月開始加入AireOS控制器。
這個問題在製造日期後約10年也影響WLC
對於使用由升級工具生成的自簽名證書(SSCs)的AP,症狀將發生在2020年1月1日。
要確定何時創建AP的MIC,請在WLC上運行此命令以查找SN:
(Cisco控制器)> show ap inventory all
庫存lap1130-sw3-9
名稱:“思科AP”,DESCR:“思科無線接入點”
PID:AIR-LAP1131AG-E-K9,VID:V01,
FCZ1128Q0PE 名:“Dot11Radio0”,DESCR:“802.11G無線”
PID:未知,VID:,SN:GAM112706LC
名字:“Dot11Radio1”,DESCR:“802.11a無線電”
PID:未知,VID:,SN:ALP112706LC
美聯社底盤SN位於輸出的第一部分,例如:PID:AIR-LAP1131AG-E-K9,VID:V01,SN:FCZ1128Q0PE
序列號格式爲:“LLLYYWWSSSS”; 其中“YY”是製造年份,“WW”是製造週期。日期代碼可以在序列號的4箇中間數字中找到。
製造年份代碼:
01 = 1997 06 = 2002 11 = 2007 16 = 2012
02 = 1998 07 = 2003 12 = 2008 17 = 2013
03 = 1999 08 = 2004 13 = 2009 18 = 2014
04 = 2000 09 = 2005 14 = 2010
05 = 2001 10 = 2006年15 = 2011
製造周代碼:
1-5:1月15日至18日:4月28日至31日7月41-44:年10月
6-9:2月19日至22日:32-35五月八月45-48:十一月
10- 14:3月23 - 27日:6月36-40:9月49-52:12
示例:SN FCZ1128Q0PE的年代碼爲11,意味着它於2007年製造。周代碼爲12,意味着它在3月製造。
還可以使用Prime Infrastructure Reporting找到所有AP的SN的SN。
解決方法:
CCO for 7.0,7.4,8.x中提供了帶有修訂的代碼
對於7.6,
您可以聯繫TAC獲取升級代碼,儘管建議轉移到8.0以備將來支持在故障情況下恢復AP:
注意:此解決方法應僅用於允許已過期證書的AP加入WLC足夠長時間升級軟件。
如果證書已過期,請禁用NTP,然後將WLC時鐘時間更改爲最近更早的時間,當證書仍然有效時。如果將時鐘設置得太遠,較新的AP可能無法加入。一旦軟件已升級,並且受影響的AP已加入,則WLC時鐘應重置爲有效時間。
解決方案:
思科已經發布了AireOS 7.0.252.0,並將於2015年4月發佈7.4版本的重建版本,並於2015年6月發佈8.0版本。
這些重建將實施新的CLI命令,以在WLC上禁用
MIC和SSC的生存期有效性檢查。默認情況下,命令將被禁用,即具有過期MIC和SSC的AP將無法加入。
升級到新的重建後,使用新命令禁用
終生有效性檢查,允許具有10年以上MIC或SSC的AP 加入。