Restaure la conectividad de telemetría inactiva debido a fallas de renovación de certificados PKI en dispositivos IOS-XE administrados por Catalyst Center que ejecutan las versiones 17.12.1 a 17.12.4.

Introducción

Este documento describe las razones por las que fallan las conexiones de telemetría y cómo restaurarlas. 

• La renovación automática del certificado sdn-network-infra-iwancertificate (Cisco Catalyst Center - dispositivo Cisco IOS® XE) puede fallar en un dispositivo Cisco IOS XE debido a un error de Cisco ID CSCwk39268  en el sistema operativo del dispositivo Cisco IOS XE, haciendo que la telemetría enviada desde los dispositivos afectados a Catalyst Center deje de funcionar.
• El certificado tiene una validez de un año y normalmente Catalyst Center lo renueva automáticamente unos 60 días antes de que caduque.
• Los clientes afectados por este problema, o que es probable que se vean afectados, pueden ver un mensaje emergente en Catalyst Center.

Versiones afectadas:

• Catalyst Center versiones anteriores a la 2.3.7.11 administración de los dispositivos de red Cisco IOS XE que ejecutan las versiones 17.12.1-17.12.4

Resolución:

Los clientes deben utilizar cualquiera de estas tres opciones para resolver el problema.

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5.  Validar la plantilla

Después de guardar la plantilla, haga clic enAcciones y seleccioneConfirmar.

Ingrese un mensaje de confirmación, por ejemplo:Update trustpoint hash to sha512.

Confirme la confirmación.

6.  Aprovisionar la plantilla en un dispositivo

En la página Diseño > Plantillas CLI, seleccione la plantilla.

Haga clic en Aprovisionar plantillas.

Introduzca un nombre de tarea, por ejemplo:Trustpoint_Update_Device1.

En el paso de selección de dispositivos, seleccione sólo un dispositivo Cisco IOS XE.

Haga clic en Siguiente.

Revise la asignación de plantilla aplicable.

Dado que no se utiliza ninguna variable de plantilla, continúe con el paso siguiente.

En la pantalla Vista previa, compruebe que los comandos son correctos.

Haga clic enImplementar ahora.

7.  Confirmar estado de implementación en el centro Catalyst:

Vaya a Actividades > Tareas.

Compruebe que la implementación se ha completado correctamente.

Si la implementación ha fallado, revise los detalles de la tarea y el resultado del error antes de volver a intentarlo.

8.  Repetir para dispositivos adicionales

Repita este proceso de implementación para cada dispositivo Cisco IOS XE de forma individual.

Utilice un nombre de tarea independiente para cada dispositivo con el fin de simplificar el seguimiento y la resolución de problemas.

9.  Verifique la configuración en el dispositivo
Una vez finalizada la implementación, conéctese a la CLI del dispositivo y ejecute:

show run | sec crypto pki trustpoint sdn-network-infra-iwan

Confirme que running-configuration incluya estas líneas:

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

Opción 2: Actualizar Catalyst Center a 2.3.7.11,2.3.7.9 PSMU80 o2.3.7.10 PSMU140.

La SMU (actualización de mantenimiento de software) está disponible bajoSistema > Administración de software en la GUI de Catalyst Center. Si no puede ver la SMU, abra una solicitud de servicio de TAC y proporcione su ID de miembro.

Opción 3: Actualice el dispositivo IOS de Cisco XE a17.12.5 o posterior de una versión recomendada por Cisco.

Identificación del dispositivo Cisco IOS XE afectado:

Paso 1:  Valide el certificado del dispositivo y el estado del punto de confianza en el dispositivo Cisco IOS XE afectado.

device# show crypto pki certificates verbose sdn-network-infra-iwan

Ejemplo de Salida:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

Nota: Si la fecha de finalización y la fecha de renovación son anteriores a la fecha actual en el dispositivo, el certificado ha caducado.

Paso 2: Compruebe el registro de errores en el dispositivo.

Ejemplo de Salida:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

Paso 3: Compruebe el estado de la telemetría del dispositivo en Catalyst Center

Ejemplo de Salida:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

Nota: En este ejemplo, la conexión de telemetría no está activa, solo en el estado Conexión.

Información adicional:

Cuando el certificado del dispositivo ya haya caducado y el dispositivo se encuentre en un estado degradado, siga estos dos pasos:

Paso 1:  Forzar la telemetría de inserción desde la GUI de Catalyst Center

1. Vaya aMenú > Aprovisionar > Inventario
2. Seleccione los dispositivos por nombre de host
3. Seleccione Acciones > Telemetría > Actualizar configuración de telemetría
4. Habilitar transferencia de configuración forzada
5. Vaya al asistente y envíe la tarea

Paso 2:  Actualice el algoritmo hash para el punto de confianza tosha512 en el dispositivo:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

Preguntas frecuentes:

¿La instalación de SMU corrige un sistema ya afectado o es preventiva?
SMU es una solución preventiva y debe instalarse antes de que se produzca el problema. Si el problema ya ha ocurrido, la instalación de SMU no lo borra automáticamente. Para recuperar los sistemas con fallos existentes, revise la sección de información adicional.