Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО]
-
Привет всем,
Это новая проблема, с которой многие могут столкнуться в ближайшее время, так как сертификат SHA-2, поставляемый с AirOS 8.5.182, истек 4 октября 2025 года.
Вы знаете — это сообщение в журналах AP: *Mar 1 00:01:41.335: AP has SHA2 MIC certificate - Using SHA2 MIC certificate for DTLS.
*Nov 3 21:20:04.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 192.168.x.x peer_port: 5246
*Nov 3 21:20:04.011: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: <omitted>) has expired. Validity period ended on 05:15:04 UTC Oct 4 2025 Peer certificate verification failed 001A
*Nov 3 21:20:04.011: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed! Контроллер показывает этот сертификат: Certificate Name: Cisco SHA2 device cert Subject Name : C=US, ST=California, L=San Jose, O=Cisco Systems, CN=AIR-CT2504-K9-<omitted>, emailAddress=support@cisco.com Issuer Name : O=Cisco, CN=Cisco Manufacturing CA SHA2 Serial Number (Hex): <omitted> Validity : Start : Oct 4 05:05:04 2015 GMT End : Oct 4 05:15:04 2025 GMT Signature Algorithm : sha256WithRSAEncryption Hash key : SHA1 Fingerprint : <omitted> SHA256 Fingerprint : <omitted> Итак, помимо раздражающей необходимости «переводить часы назад», чтобы система заработала, возникает вопрос:
выпускает ли Cisco обновленные сертификаты, которые, похоже, можно загрузить прямо в контроллер?
Если нет, то можно ли решить эту проблему с помощью сертификатов, предоставленных, например, LetsEncrypt?
(Я понимаю, что сертификат необходимо загрузить в контроллер через GUI/CLI, но CLI можно автоматизировать с помощью скриптов).
Итак, я решил посмотреть, как люди справляются с этой проблемой.
Спасибо,
Бен -
Итак, для всех, кто читает этот пост: оказывается, LSC ДЕЙСТВИТЕЛЬНО являются решением этой проблемы. Конечно, в доступной документации упущено МНОЖЕСТВО важных деталей. Есть лишь неясная упоминание о сервере сертификатов Cisco, предназначенном для решения этой проблемы, который (кстати) поставляется практически без документации. Это было забавно, но не так уж и плохо. Затем есть страница настройки LSC в WLC, которая выглядит ужасно и не работает. Лучше настраивать с помощью CLI. А еще есть вопрос управления часами — и пропущенные шаги в руководстве администратора после включения LSC и настройки точек доступа, которые фактически позволяют им подключаться. Совершенно очевидно, что Cisco потеряла интерес к поддержанию точности документации для финальной версии. Ну что ж. Неудивительно. Пришлось разбираться с нуля, учитывая все представленные препятствия, но, похоже, это рабочее решение, хотя, вероятно, не для слабонервных. Но оно работает. Так что... это победа. С уважением, -Бен
-
@benjammin1001
написал:
Cisco
выпускает обновленные сертификаты, которые, похоже, можно загрузить прямо в контроллер? После версии 8.5.182.0 больше не будет новых выпусков (за исключением инженерных выпусков). -
Привет, Лео,
я понимаю, что конкретная серия WLC находится в конце жизненного цикла и больше не будет выпущено прошивок.
Но из того, что я прочитал до сих пор (я все еще разбираюсь во всем этом), похоже, что Cisco может просто выпустить сертификат для загрузки в устройство. Также
похоже, что устройство может работать в режиме «самоподписанного» или частного ЦС. Мне просто нужно выяснить детали.
Но я подумал, что спрошу, может быть, кто-то уже все это выяснил, поскольку перезагрузка приведет к сбою существующих установок. Я не могу поверить, что все обновили эти устройства только потому, что они вышли из эксплуатации.
Дайте мне знать, спасибо,
-Бен -
Эти сертификаты называются MIC (Manufactured Installed Certificates, сертификаты, установленные производителем) и не могут быть обновлены или продлены. Другой момент, который вы описали, в некоторой степени похож на LSC (Locally Significant Cert, локально значимый сертификат), который представляет собой совершенно иную концепцию. LSC в основном используется клиентами, использующими AIR-CTVM. Люди, имеющие аппаратные контроллеры, обычно полагаются на MIC. Поэтому вам придется выполнить только обходной путь.
-
Привет, Сайкат, Спасибо за ответ. Я знаю, что такое сертификаты MIC. Спасибо. Если под «обходным путем» ты имеешь в виду настройку: config ap cert-expiry-ignore mic enable
config ap cert-expiry-ignore ssc enable Это не работает. В частности, похоже, что AP отклоняет сертификат SHA-2 WLC (как показано выше), в то время как WLC принимает сертификат MIC от AP независимо от даты, как описано в документации для версии 8.5 на странице 658 pdf-файла. Если это и есть то обходной путь, который вы имеете в виду, то он не работает из-за стороны AP. Если посмотреть на конфигурацию AP, то кажется, что в ней есть правильные настройки «allow expired», но AP по-прежнему
отклоняет сертификат SHA-2 от WLC на основании даты. (Поскольку я не разработчик, я не уверен, что те, у которых нет инструкции ignore, являются намеренными). crypto pki trustpoint cisco-m2-root-cert revocation-check none rsakeypair Cisco_IOS_M2_MIC_Keys
!
crypto pki trustpoint Cisco_IOS_M2_MIC_cert revocation-check none rsakeypair Cisco_IOS_M2_MIC_Keys match certificate ciscomic allow expired-certificate
!
crypto pki trustpoint airespace-old-root-cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys
!
crypto pki trustpoint airespace-device-root-cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys
!
crypto pki trustpoint Cisco_IOS_MIC_cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys match certificate ciscomic allow expired-certificate
!
crypto pki trustpoint virtual_wlc_trust_point revocation-check crl match certificate vwlcssc allow expired-certificate
!
crypto pki certificate map ciscomic 10 issuer-name co cn = cisco manufacturing ca, o = cisco systems
!
crypto pki certificate map vwlcssc 1 subject-name co o = cisco virtual wireless lan controller
!
crypto pki certificate chain cisco-m2-root-cert
!
<
certs
deleted
for
brevity!
crypto pki certificate chain virtual_wlc_trust_point Это больше похоже на ошибку после настройки чего-то, что должно игнорировать дату истечения срока действия.
Что касается LSC, в документации администратора 8.5 на странице 660 pdf сказано: You can use an LSC if you want your own public key infrastructure (PKI) to provide better security, to have
control of your certificate authority (CA), and to define policies, restrictions, and usages on the generated
certificates. The LSC CA certificate is installed on access points and controllers. You need to provision the device certificate
on the access point. The access point gets a signed X.509 certificate by sending a certRequest to the controller.
The controller acts as a CA proxy and receives the certRequest signed by the CA for the access point. Это означает, что LSC — не просто решение для виртуальных WLC, поскольку LSC могут «обеспечить лучшую безопасность».
Кроме того, если вы можете лучше объяснить метод RADIUS (или сослаться на авторитетный документ), поскольку в тексте говорится, что для его действия не требуется дата MIC. Я мог бы настроить RADIUS для различных клиентов, которые все еще используют эти контроллеры/точки доступа...
В конце концов, я хочу исправить то, что выглядит как упущенная ошибка, которая может произойти после истечения срока действия сертификата SHA-2, а функция «игнорировать» не покрывает это. А регулярная переустановка часов — это то, что вызовет удивление у клиентов/пользователей. Не лучший имидж для Cisco.
Дайте мне знать и спасибо, -Бен -
Просто чтобы поднять эту тему...
У меня есть ощущение, что гораздо больше людей обнаружат, что их старая система Cisco WLC выйдет из строя при следующей перезагрузке контроллера (всей системы) или точки доступа (из-за перезагрузки коммутатора или по другой подобной причине), и не поймут, почему это произошло, хотя они уже применили исправление ignore-expiry-date к своей системе. -
В качестве дополнительной информации для тех, кто просматривал эту ветку:
одна из установок, с которой я помогаю клиенту, использует 5508WLC с версией 8.1.131.0 — сертификат SHA-2 устройства истекает 25 октября 2025 года, но точки доступа по-прежнему подключаются к системе, как и ожидалось.
Таким образом, эта проблема похожа на ошибку в версии 8.5.182.0, в которой игнорирование истечения срока действия сертификата не работает на 100 %, как должно быть.
Просто решил упомянуть об этом кратком наблюдении.
С уважением,
-Бен
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти