思科1242 AP無法連接到無線控制器

思科1242 AP 證書有效期爲10年，如果證書到期後，
首先，把WLC升級成ios 7.4.140或者8.0.120以上版本，
其次,在WLC上輸入以下命令關閉AP證書的檢測功能

config apcert-expiry-ignore {mic|ssc} enable(注意：這個命令只有IOS 7.4.140或者8.0.120以上纔有的)

 最後，在WLC上設置一下，讓AP下載WLC的證書即可

這樣AP就可以正常註冊到WLC，本人親測，歡迎轉載~ 

LAP / WLC MIC或SSC壽命到期導致DTLS故障

描述

症狀：無線接入點無法連接到無線局域網控制器。

症狀1（AP的證書已過期）：

在加入失敗時，WLC的msglog可能顯示類似

如下的消息：

Jul 10 16：13：52.443 spam_lrad.c：6164 LWAPP-3-PAYLOAD_ERR：加入請求證書有效負載中不包含有效證書 
- AP 00：11：22：33：44：55 

症狀2（WLC的製造安裝證書已過期）：

WLC的MIC過期後，當前加入的AP CAPWAP會話將保持建立。

但是，一旦AP需要重新建立CAPWAP連接，它將失敗。

AP記錄器將顯示類似於以下內容的消息：

* Oct 29 18：01：56.107：％PKI-3-CERTIFICATE_INVALID_EXPIRED：證書鏈驗證失敗。

證書（SN：7E3446C40000000CBD95）已過期。有效期結束於14:38:08 UTC十月

26 2021Peer證書驗證失敗001A 

* 10月29日18：01：56.107：DTLS_CLIENT_ERROR：../ 

capwap/base_capwap /capwap/base_capwap_wtp_dtls.c:496 證書驗證失敗！

* Oct 29 18：01：56.107：％DTLS-5-SEND_ALERT：發送致命：錯誤證書警報至192.168.10.10:5246 

* 10月29日18：01：56.107：％DTLS-5-SEND_ALERT：發送致命：到192.168.10.10:5246 

在WLC端，你只會看到這樣的消息：

* osapiBsnTimer：Oct 29 11：05：04.571：＃DTLS-3-HANDSHAKE_FAILURE：openssl_dtls.c：2962
無法完成與對等體的DTLS握手192.168.202.8 

條件：此症狀將在設備製造日期10年後發生。

2005年7月製造了具有MIC的最早的AP（1120,1130,1230,1310系列），

因此這些AP將無法從2015年7月開始加入AireOS控制器。

這個問題在製造日期後約10年也影響WLC

對於使用由升級工具生成的自簽名證書（SSCs）的AP，症狀將發生在2020年1月1日。

要確定何時創建AP的MIC，請在WLC上運行此命令以查找SN：

（Cisco控制器）> show ap inventory all

庫存lap1130-sw3-9 

名稱：“思科AP”，DESCR：“思科無線接入點” 

PID：AIR-LAP1131AG-E-K9，VID：V01，

FCZ1128Q0PE 名：“Dot11Radio0”，DESCR：“802.11G無線” 

PID：未知，VID：，SN：GAM112706LC 

名字：“Dot11Radio1”，DESCR：“802.11a無線電” 

PID：未知，VID：，SN：ALP112706LC 

美聯社底盤SN位於輸出的第一部分，例如：PID：AIR-LAP1131AG-E-K9，VID：V01，SN：FCZ1128Q0PE 

序列號格式爲：“LLLYYWWSSSS”; 其中“YY”是製造年份，“WW”是製造週期。日期代碼可以在序列號的4箇中間數字中找到。

製造年份代碼：

01 = 1997 06 = 2002 11 = 2007 16 = 2012 

02 = 1998 07 = 2003 12 = 2008 17 = 2013 

03 = 1999 08 = 2004 13 = 2009 18 = 2014 

04 = 2000 09 = 2005 14 = 2010 

05 = 2001 10 = 2006年15 = 2011 

製造周代碼：

1-5：1月15日至18日：4月28日至31日7月41-44：年10月

6-9：2月19日至22日：32-35五月八月45-48：十一月

10- 14：3月23 - 27日：6月36-40：9月49-52：12 

示例：SN FCZ1128Q0PE的年代碼爲11，意味着它於2007年製造。周代碼爲12，意味着它在3月製造。

還可以使用Prime Infrastructure Reporting找到所有AP的SN的SN。

解決方法：

CCO for 7.0，7.4，8.x中提供了帶有修訂的代碼

對於7.6，

您可以聯繫TAC獲取升級代碼，儘管建議轉移到8.0以備將來支持在故障情況下恢復AP：

注意：此解決方法應僅用於允許已過期證書的AP加入WLC足夠長時間升級軟件。

如果證書已過期，請禁用NTP，然後將WLC時鐘時間更改爲最近更早的時間，當證書仍然有效時。如果將時鐘設置得太遠，較新的AP可能無法加入。一旦軟件已升級，並且受影響的AP已加入，則WLC時鐘應重置爲有效時間。

解決方案：

思科已經發布了AireOS 7.0.252.0，並將於2015年4月發佈7.4版本的重建版本，並於2015年6月發佈8.0版本。

這些重建將實施新的CLI命令，以在WLC上禁用

MIC和SSC的生存期有效性檢查。默認情況下，命令將被禁用，即具有過期MIC和SSC的AP將無法加入。

升級到新的重建後，使用新命令禁用

終生有效性檢查，允許具有10年以上MIC或SSC的AP 加入。