Hướng dẫn sửa lỗi chứng chỉ số bị hết hạn (Certificate Expired) trên thiết bị Cisco WLC hoặc AP

Thảo luận trong 'Wireless' bắt đầu bởi bluepanda198, 5/7/23.

  1. bluepanda198

    bluepanda198 Member

    GIỚI THIỆU:
    - Nếu bạn đang sử dụng Cisco WLAN Controller (WLC) hoặc Access Point trong hạ tầng mạng không dây của bạn, một ngày nào đó bạn có thể gặp trường hợp các AP bỗng dưng biến mất đột ngột khỏi WLC. Và không thể tham gia trở lại hệ thống quản lý tập trung này. Đây có thể vấn đề phát sinh ra từ Chứng chỉ số (Digital Certificates hay Certificates) của các thiết bị trong mạng.

    - Là quản trị viên, bạn rất hiếm khi phải xử lý các certificates được sử dụng để xác thực giữa WLC và AP vì hầu hết thời gian là chúng hoạt động bình thường.

    - Sơ qua về các certificates thiết bị trong phần điều kiện làm việc của Cisco WLC và AP:
    • Trong khi sản xuất, certificates thiết bị được cài đặt trong toàn bộ WLC và AP khi ra khỏi xưởng sản xuất.
    • Certificates được sử dụng để thực hiện xác thực giữa WLC và AP khi muốn join vào WLC.
    • Nếu không xác thực qua lại với nhau, WLC và AP không thể thiết lập DTLS-tunnel bảo mật giữa chúng cho lưu lượng mã hóa CAPWAP control, việc này có nghĩa các AP không thể join WLC.
    • Các certificates thiết bị cho cả WLC và AP có thời hạn trong 10 năm kể từ ngày sản xuất (Manufacturing date).
    • Thời gian là một yếu tố quan trọng dành cho một certificates hiệu lực.
    • Các CAPWAP (LightweightAP) đồng bộ thời gian từ WLC. Do đó nếu CAPWAPDTLS-connection không được thiết lập thành công, AP vẫn sẽ lấy được thời gian từ WLC.

    VẤN ĐỀ GẶP PHẢI:
    - Những tình huống lỗi mà mình đã gặp phải do certificates số của thiết bị gây ra:
    • Trên các Access Point cũ (vd: AIR-CAP1602i) không muốn join vào WLC.
    • Trên Access Point mới (vd: AIR-CAP1852i hay C9115AXI-S) không cũng thể join vào WLC.
    • Lỗi Kết nối và Quản trị: Các liên kết tới các APs từ WLC mất dần và không thể phục hồi.

    - Trên các AP đời cũ sẽ có thông báo lưu ý 10 năm và certificates của thiết bị cuối cùng đã hết hạn. Ở đây là dòng AP AIR-CAP1602i. Những AP sẽ không bị ngắt kết nối khỏi WLC ngay khi certificates hết hạn nhưng trong trường hợp AP hoặc WLC khởi động lại, ngoài ra lúc WLC phải thiết lập mới CAPWAP-tunnel giữa cả hai, kết nối sẽ không thành công.

    - Hãy kết nối tới cổng console của AP là phương án tốt nhất để thấy vấn đề khi hoạt động như thế nào. (10.10.66.250 là địa chỉ IP của WLC).

    *Jun 13 18:26:24.000: %CAPWAP-5-DTLSREQSEND: DTLS connection request sent peer_ip: 10.10.66.250 peer_port: 5246
    *Jun 13 18:26:24.000: %CAPWAP-5-CHANGED: CAPWAP changed state to
    *Jun 13 18:26:24.099: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed.

    The certificate (SN: xxxxxxxxx000000CAAAA) has expired. Validity period ended on 19:56:24 UTC Jun 10 2023

    *Jun 13 18:26:24.099: %LWAPP-3-CLIENTERRORLOG: Peer certificate verification failed
    *Jun 13 18:26:24.099: %CAPWAP-3-ERRORLOG: Certificate verification failed!

    - Thông báo lỗi trên màn hình Command khá rõ ràng, chính AP đang cảnh báo chúng ta rằng 'Chứng chỉ số đã hết hạn'.

    - Trên các AP mới hơn, nếu kết nối console lúc AP đăng cố gắng kết nối tới WLC, các certificates của thiết bị đã 10 năm tuổi do đó đã hết hạn.

    - Để xem các lỗi này trên AP tốt nhất vẫn là kết nối qua cổng console, thông báo lỗi có thể khác nhau tùy vào AP mà bạn đang sử dụng IOS software nào.

    - Đối với IOS-base cũ AP có báo lỗi như thế này:

    [*01/07/2023 12:34:50.0099] Cert Verification FAILED with error 10 (certificate has expired) at 0 depth...

    [*01/07/2023 12:34:50.0099] [*23/06/2023 12:34:50.0099] /C=US/ST=California/L=San Jose/O=Cisco Systems/CN=AIR-CT3504-K9-00211bfeAAAA/emailAddress=support@cisco.com

    - Đối với AP-COS-base mới AP có báo lỗi như sau:

    [*01/07/2023 04:55:26.3299] CAPWAP State: DTLS Teardown
    [*01/07/2023 04:55:30.9385] CAPWAP State: Discovery
    [*01/07/2023 04:55:30.9385] Did not get log server settings from DHCP.
    [*01/07/2023 04:55:41.0000] CAPWAP State: DTLS Setup
    [*01/07/2023 04:55:41.3399] Bad certificate alert received from peer.
    [*01/07/2023 04:55:41.3399] DTLS: Received packet caused DTLS to close connection

    GIẢI PHÁP KHẮC PHỤC:
    - Nếu certificate của một hoặc nhiều AP đã hết hạn bạn có hai lựa chọn như sau:

    1> Tắt NTP và cài đặt thời gian thủ công của WLC thành ngày giờ khi certificates vẫn còn hạn. AP vẫn sẽ lấy thời gian được cập nhất và thử join vào WLC vì vậy không cần phải đặt thời gian trực tiếp trên từng Access Point.

    - Nếu bạn đang sử dụng NTP để đặt thời gian cho WLCm sử dụng lệnh >show time để để xem NTP-server nào mà bạn đang sử dụng. Tất cả NTP server của bạn được đặt số index number (như 1,2,3….) và bạn cần phải đưa ra số index này để xóa NTP-server khỏi WLC. Trong trường hợp chỉ có một NTP-server được cấu hình thì bạn cần phải xóa nó với index = 1. Sau đó, thực hiện việc đặt thời gian thủ công.

    (Cisco Controller)> config time ntp delete 1
    (Cisco Controller)> config time manual 09/30/18 11:30:00

    - NTP-server cũng có thể được xóa trên web-GUI trong phần Controller > NTP > Server và sau đó di chuyển chuột của bạn đến hình tam giác xanh dương nhỏ kế bên mỗi NTP-server để thấy tùy chọn xóa chúng. Và để đặt thời gian thủ công trên web-GUI dưới phần Commands > Set Time.

    2> Tắt xác thực certificates toàn bộ thiết bị và để AP join WLC bằng mọi cách, bạn sử dụng dòng lệnh:

    (Cisco Controller)> config ap cert-expiry-ignore mic enable

    - Nếu certificates của WLC của bạn đã hết hạn, bạn có thể cần phải sử dụng cả hai giải pháp thay thế để các AP mới hơn join WLC. Tùy thuộc vào phiên bản WLC của bạn, việc chỉ sử dụng một trong các giải pháp thay thế có thể không hoạt động vì có một số thay đổi đối với các giải pháp thay thế này trong phiên bản 8.5 của phần mềm AireOS, là hệ điều hành của các WLC.

    CÁCH KIỂM TRA THIẾT BỊ CỦA WIRELESS CONTROLLER HẾT CERTIFICATE:
    - Có thể bạn chưa gặp phải các vấn đề trên nhưng bạn muốn biết mình còn bao nhiêu thời gian cho đến khi cần áp dụng các giải pháp thay thế hoặc đầu tư vào phần cứng mới. SSH vào WLC và chạy lệnh sau để liệt kê tất cả các certificates được cài đặt trong WLC. Chỉ một trong các certificates được cài đặt trong WLC được sử dụng để xác thực thiết bị đối với các AP, vì vậy hãy đảm bảo tìm kiếm certificates có tên (Cisco device cert):

    Cisco Controller)> show certificate all

    - Kéo màn hình điều khiển đến khi bạn tìm thấy certificates này và kiểm tra Validity End Date:

    ----------------------------
    Certificate Name: Cisco SHA1 device cert
    Subject Name :
    C=US, ST=California, L=San Jose, O=Cisco Systems, CN=AIR-CT5508-K9-ccd8e14058a0, emailAddress=support@cisco.com

    Issuer Name :
    O=Cisco Systems, CN=Cisco Manufacturing CA

    Serial Number (Hex):
    792EA1F60000002140AA

    Validity :
    Start : Sep 10 14:29:13 2015 GMT
    End : Sep 10 14:39:13 2225 GMT <<<<<<<<<<<<<<<<<<<<<

    Signature Algorithm :
    sha1WithRSAEncryption

    Hash key :
    SHA1 Fingerprint : 3d:54:c0:b3:8b:ab:8f:51:dd:28:04:ed:54:77:16:1c:ae:c6:aa:bb

    SHA256 Fingerprint : b8:94:86:6b:9f:04:bd:8c:0c:43:c6:46:c4:30:f7:9f:59:0c:f9:97:da:c9:07:e6:2f:18:c8:0e:aa:ae:bb:2d
     
    bluepanda198, 5/7/23
    #1

trang này