Stellen Sie die Telemetrieverbindungen aufgrund von PKI-Zertifikatverlängerungsfehlern auf von Catalyst Center verwalteten IOS-XE-Geräten mit den Versionen 17.12.1 bis 17.12.4 wieder her.

Download-Optionen

  • PDF     (263.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (97.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (86.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:28. April 2026
Dokument-ID:225713

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument werden die Ursachen für fehlgeschlagene Telemetrieverbindungen und ihre Wiederherstellung beschrieben. 

  • Bei der automatischen Verlängerung des infra-iwancertificate für das SDN-Netzwerk (Cisco Catalyst Center - Cisco IOS® XE Gerät) kann auf einem Cisco IOS XE-Gerät aufgrund eines Cisco Bugs ein Fehler auftreten. ID CSCwk39268  auf dem Betriebssystem dieses Cisco IOS XE-Geräts verursacht, dass die Telemetrie, die von den betroffenen Geräten an Catalyst Center gesendet wird, ausfällt.
  • Das Zertifikat ist ein Jahr gültig und wird in der Regel automatisch von Catalyst Center ca. 60 Tage vor Ablauf des Zertifikats verlängert.
  • Kunden, die von diesem Problem betroffen sind oder wahrscheinlich betroffen sein werden, wird eine Popup-Meldung im Catalyst Center angezeigt.

Betroffene Versionen:

  • Catalyst Center-Versionen vor 2.3.7.11 zur Verwaltung von Cisco IOS XE-Netzwerkgeräten unter den Versionen 17.12.1-17.12.4

Auflösung:

Der Kunde muss eine dieser drei Optionen nutzen, um das Problem zu beheben.

Für mehrere Cisco IOS XE-Geräte kann diese Vorlage vom Catalyst Center aus per Push übermittelt werden.

1.  Zugriff auf Catalyst Center

Melden Sie sich bei Catalyst Center an.

Navigieren Sie im Hauptmenü zu Design > CLI-Vorlagen.

2.  Vorlagenprojekt erstellen

Klicken Sie auf Hinzufügen > Neues Projekt.

Geben Sie einen Projektnamen ein, z. B. PKI_Trustpoint_Changes.

Klicken Sie auf Continue (Weiter).

3.  Erstellen einer neuen CLI-Vorlage

Wählen Sie das neu erstellte Projekt aus.

Klicken Sie auf Hinzufügen > Neue Vorlage.

Geben Sie einen Vorlagennamen ein, z. B. Configure_sdn_network_infra_iwan_Trustpoint.

Legen Sie als Vorlagentyp die Standardvorlage fest.

Stellen Sie den Softwaretyp auf Cisco IOS XE ein.

Wählen Sie die entsprechende Gerätefamilie oder -serie für die gewünschten Cisco IOS XE-Geräte aus.

Klicken Sie auf Continue (Weiter).

4.  Hinzufügen der CLI-Konfiguration

Geben Sie im Vorlageneditor die folgenden Befehle ein:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5.  Vorlage bestätigen

Klicken Sie nach dem Speichern der Vorlage auf Aktionen, und wählen Sie Übernehmen aus.

Geben Sie eine Commit-Meldung ein, z. B.: Aktualisieren Sie den Trustpoint-Hash auf sha512.

Bestätigen Sie die Bestätigung.

6.  Bereitstellung der Vorlage für ein Gerät

Wählen Sie auf der Seite Design > CLI Templates (Design > CLI-Vorlagen) die Vorlage aus.

Klicken Sie auf Vorlagen bereitstellen.

Geben Sie einen Tasknamen ein, z. B. Trustpoint_Update_Device1.

Wählen Sie im Geräteauswahlschritt Nur Cisco IOS XE-Gerät aus.

Klicken Sie auf Weiter.

Überprüfen Sie die entsprechende Vorlagenzuordnung.

Da keine Vorlagenvariablen verwendet werden, fahren Sie mit dem nächsten Schritt fort.

Überprüfen Sie auf dem Vorschaufenster, ob die Befehle korrekt sind.

Klicken Sie auf Jetzt bereitstellen.

7.  Bereitstellungsstatus in Catalyst Center bestätigen:

Navigieren Sie zu Aktivitäten > Aufgaben.

Überprüfen des erfolgreichen Abschlusses der Bereitstellung

Wenn die Bereitstellung fehlschlug, überprüfen Sie die Aufgabendetails und die Fehlerausgabe, bevor Sie es erneut versuchen.

8.  Für zusätzliche Geräte wiederholen

Wiederholen Sie diesen Bereitstellungsprozess für jedes Cisco IOS XE-Gerät einzeln.

Verwenden Sie für jedes Gerät einen separaten Aufgabennamen, um die Nachverfolgung und Fehlerbehebung zu vereinfachen.

9.  Überprüfen Sie die Konfiguration des Geräts.
Stellen Sie nach Abschluss der Bereitstellung eine Verbindung mit der CLI des Geräts her, und führen Sie Folgendes aus:

show run | sec crypto pki trustpoint sdn-network-infra-iwan

Vergewissern Sie sich, dass die aktuelle Konfiguration folgende Posten enthält:

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

Option 2: Upgrade von Catalyst Center auf 2.3.7.11, 2.3.7.9 PSMU80 oder 2.3.7.10 PSMU140.

Das SMU (Software Maintenance Update) steht unter System > Software Management in der Catalyst Center GUI zur Verfügung. Wenn Sie das SMU nicht sehen können, öffnen Sie bitte eine TAC Service-Anfrage und geben Sie Ihre Member-ID an.

Option 3: Führen Sie ein Upgrade des betroffenen Cisco IOS XE-Geräts auf 17.12.5 oder höher einer von Cisco empfohlenen Version durch.

Identifizierung des betroffenen Cisco IOS XE-Geräts:

Schritt 1:  Validieren Sie das Gerätezertifikat und den Vertrauenspunktstatus auf dem betroffenen Cisco IOS XE-Gerät.

device# show crypto pki certificates verbose sdn-network-infra-iwan

Beispiel für das Ergebnis:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

Anmerkung: Wenn Enddatum und Verlängerungsdatum vor dem aktuellen Datum auf dem Gerät liegen, ist das Zertifikat abgelaufen.

Phase 2: Überprüfen Sie das Fehlerprotokoll auf dem Gerät.

Beispiel für das Ergebnis:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

Schritt 3: Überprüfung des Telemetriestatus des Geräts in Catalyst Center

Beispiel für das Ergebnis:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

Anmerkung: In diesem Beispiel ist die Telemetrieverbindung nicht aktiv, sondern nur im Status "Connecting" (Verbinden).

Zusätzliche Informationen:

Wenn das Gerätezertifikat bereits abgelaufen ist und sich das Gerät in einem herabgesetzten Zustand befindet, führen Sie die folgenden zwei Schritte aus:

Schritt 1:  Erzwungene Push-Telemetrie über die Catalyst Center-Benutzeroberfläche

  1. Navigieren Sie zu Menü > Provisionierung > Bestand.
  2. Auswahl der Geräte nach Hostname
  3. Wählen Sie Aktionen > Telemetrie > Telemetrieeinstellungen aktualisieren aus.
  4. Push für erzwungene Konfiguration aktivieren
  5. Fahren Sie mit dem Assistenten fort, und senden Sie die Aufgabe.

Phase 2:  Aktualisieren Sie den Hashalgorithmus für den Vertrauenspunkt tosha512 auf dem Gerät:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

Häufig gestellte Fragen

Behebt die Installation von SMU ein bereits betroffenes System oder ist sie vorbeugend?
SMU stellt eine vorbeugende Lösung dar und muss installiert werden, bevor das Problem auftritt. Wenn das Problem bereits aufgetreten ist, wird es durch die Installation von SMU nicht automatisch behoben. Um bestehende ausgefallene Systeme wiederherzustellen, lesen Sie den Abschnitt mit den zusätzlichen Informationen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
2.0
28-Apr-2026
Erstveröffentlichung
1.0
08-Apr-2026
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Muhilan Natarajan
    Principal Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.