Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО]

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:44 GMT

benjammin1001 — Fri, 06 Mar 2026 20:42:44 GMT

В качестве дополнительной информации для тех, кто просматривал эту ветку:
одна из установок, с которой я помогаю клиенту, использует 5508WLC с версией 8.1.131.0 — сертификат SHA-2 устройства истекает 25 октября 2025 года, но точки доступа по-прежнему подключаются к системе, как и ожидалось.
Таким образом, эта проблема похожа на ошибку в версии 8.5.182.0, в которой игнорирование истечения срока действия сертификата не работает на 100 %, как должно быть.
Просто решил упомянуть об этом кратком наблюдении.
С уважением,
-Бен

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:43 GMT

benjammin1001 — Fri, 06 Mar 2026 20:42:43 GMT

Просто чтобы поднять эту тему...
У меня есть ощущение, что гораздо больше людей обнаружат, что их старая система Cisco WLC выйдет из строя при следующей перезагрузке контроллера (всей системы) или точки доступа (из-за перезагрузки коммутатора или по другой подобной причине), и не поймут, почему это произошло, хотя они уже применили исправление ignore-expiry-date к своей системе.

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:42 GMT

benjammin1001 — Fri, 06 Mar 2026 20:42:42 GMT

Привет, Сайкат, Спасибо за ответ. Я знаю, что такое сертификаты MIC. Спасибо. Если под «обходным путем» ты имеешь в виду настройку: config ap cert-expiry-ignore mic enable
config ap cert-expiry-ignore ssc enable Это не работает. В частности, похоже, что AP отклоняет сертификат SHA-2 WLC (как показано выше), в то время как WLC принимает сертификат MIC от AP независимо от даты, как описано в документации для версии 8.5 на странице 658 pdf-файла. Если это и есть то обходной путь, который вы имеете в виду, то он не работает из-за стороны AP. Если посмотреть на конфигурацию AP, то кажется, что в ней есть правильные настройки «allow expired», но AP по-прежнему
отклоняет сертификат SHA-2 от WLC на основании даты. (Поскольку я не разработчик, я не уверен, что те, у которых нет инструкции ignore, являются намеренными). crypto pki trustpoint cisco-m2-root-cert revocation-check none rsakeypair Cisco_IOS_M2_MIC_Keys
!
crypto pki trustpoint Cisco_IOS_M2_MIC_cert revocation-check none rsakeypair Cisco_IOS_M2_MIC_Keys match certificate ciscomic allow expired-certificate
!
crypto pki trustpoint airespace-old-root-cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys
!
crypto pki trustpoint airespace-device-root-cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys
!
crypto pki trustpoint Cisco_IOS_MIC_cert revocation-check none rsakeypair Cisco_IOS_MIC_Keys match certificate ciscomic allow expired-certificate
!
crypto pki trustpoint virtual_wlc_trust_point revocation-check crl match certificate vwlcssc allow expired-certificate
!
crypto pki certificate map ciscomic 10 issuer-name co cn = cisco manufacturing ca, o = cisco systems
!
crypto pki certificate map vwlcssc 1 subject-name co o = cisco virtual wireless lan controller
!
crypto pki certificate chain cisco-m2-root-cert
!
<
certs
deleted
for
brevity

!
crypto pki certificate chain virtual_wlc_trust_point Это больше похоже на ошибку после настройки чего-то, что должно игнорировать дату истечения срока действия.
Что касается LSC, в документации администратора 8.5 на странице 660 pdf сказано: You can use an LSC if you want your own public key infrastructure (PKI) to provide better security, to have
control of your certificate authority (CA), and to define policies, restrictions, and usages on the generated
certificates. The LSC CA certificate is installed on access points and controllers. You need to provision the device certificate
on the access point. The access point gets a signed X.509 certificate by sending a certRequest to the controller.
The controller acts as a CA proxy and receives the certRequest signed by the CA for the access point. Это означает, что LSC — не просто решение для виртуальных WLC, поскольку LSC могут «обеспечить лучшую безопасность».
Кроме того, если вы можете лучше объяснить метод RADIUS (или сослаться на авторитетный документ), поскольку в тексте говорится, что для его действия не требуется дата MIC. Я мог бы настроить RADIUS для различных клиентов, которые все еще используют эти контроллеры/точки доступа...
В конце концов, я хочу исправить то, что выглядит как упущенная ошибка, которая может произойти после истечения срока действия сертификата SHA-2, а функция «игнорировать» не покрывает это. А регулярная переустановка часов — это то, что вызовет удивление у клиентов/пользователей. Не лучший имидж для Cisco.
Дайте мне знать и спасибо, -Бен

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:41 GMT

Saikat Nandy — Fri, 06 Mar 2026 20:42:41 GMT

Эти сертификаты называются MIC (Manufactured Installed Certificates, сертификаты, установленные производителем) и не могут быть обновлены или продлены. Другой момент, который вы описали, в некоторой степени похож на LSC (Locally Significant Cert, локально значимый сертификат), который представляет собой совершенно иную концепцию. LSC в основном используется клиентами, использующими AIR-CTVM. Люди, имеющие аппаратные контроллеры, обычно полагаются на MIC. Поэтому вам придется выполнить только обходной путь.

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:40 GMT

benjammin1001 — Fri, 06 Mar 2026 20:42:40 GMT

Привет, Лео,
я понимаю, что конкретная серия WLC находится в конце жизненного цикла и больше не будет выпущено прошивок.
Но из того, что я прочитал до сих пор (я все еще разбираюсь во всем этом), похоже, что Cisco может просто выпустить сертификат для загрузки в устройство. Также
похоже, что устройство может работать в режиме «самоподписанного» или частного ЦС. Мне просто нужно выяснить детали.
Но я подумал, что спрошу, может быть, кто-то уже все это выяснил, поскольку перезагрузка приведет к сбою существующих установок. Я не могу поверить, что все обновили эти устройства только потому, что они вышли из эксплуатации.
Дайте мне знать, спасибо,
-Бен

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:39 GMT

Leo Laohoo — Fri, 06 Mar 2026 20:42:39 GMT

@benjammin1001
написал:
Cisco
выпускает обновленные сертификаты, которые, похоже, можно загрузить прямо в контроллер? После версии 8.5.182.0 больше не будет новых выпусков (за исключением инженерных выпусков).

Reply to Истекший сертификат SHA-2 (4 октября 2025 г.), не позволяющий точкам доступа подключаться к WLC [РЕШЕНО] on Fri, 06 Mar 2026 20:42:38 GMT

benjammin1001 — Fri, 06 Mar 2026 20:42:38 GMT

Итак, для всех, кто читает этот пост: оказывается, LSC ДЕЙСТВИТЕЛЬНО являются решением этой проблемы. Конечно, в доступной документации упущено МНОЖЕСТВО важных деталей. Есть лишь неясная упоминание о сервере сертификатов Cisco, предназначенном для решения этой проблемы, который (кстати) поставляется практически без документации. Это было забавно, но не так уж и плохо. Затем есть страница настройки LSC в WLC, которая выглядит ужасно и не работает. Лучше настраивать с помощью CLI. А еще есть вопрос управления часами — и пропущенные шаги в руководстве администратора после включения LSC и настройки точек доступа, которые фактически позволяют им подключаться. Совершенно очевидно, что Cisco потеряла интерес к поддержанию точности документации для финальной версии. Ну что ж. Неудивительно. Пришлось разбираться с нуля, учитывая все представленные препятствия, но, похоже, это рабочее решение, хотя, вероятно, не для слабонервных. Но оно работает. Так что... это победа. С уважением, -Бен