Ripristinare la connettività di telemetria inattiva a causa di errori di rinnovo del certificato PKI su dispositivi IOS-XE gestiti da Catalyst Center con versioni da 17.12.1 a 17.12.4.

Opzioni per il download

  • PDF     (262.4 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (97.5 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (86.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 maggio 2026
ID documento:225713

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive i motivi alla base degli errori delle connessioni di telemetria e come ripristinarle. 

  • Il rinnovo automatico del certificato dn-network-infra-wan (Cisco Catalyst Center - Cisco IOS® XE dispositivo) può non riuscire su un dispositivo Cisco IOS XE a causa di un bug di Cisco ID CSCwk39268  sul sistema operativo del dispositivo Cisco IOS XE, causando l'interruzione della telemetria inviata dai dispositivi interessati al Catalyst Center.
  • Il certificato è valido per un anno e viene normalmente rinnovato automaticamente da Catalyst Center circa 60 giorni prima della scadenza.
  • I clienti interessati da questo problema, o che potrebbero essere interessati, possono visualizzare un messaggio popup in Catalyst Center.

Versioni interessate:

  • Release di Catalyst Center precedenti alla versione 2.3.7.11 gestione di dispositivi di rete Cisco IOS XE con versioni 17.12.1-17.12.4

Risoluzione:

I clienti devono utilizzare una di queste tre opzioni per risolvere il problema.

Per più dispositivi Cisco IOS XE, è possibile eseguire il push di questo modello da Catalyst Center.

1. Accesso a Catalyst Center

Accedere a Catalyst Center.

Dal menu principale, passare a Progettazione > Modelli CLI.

2. Creare un progetto modello

Selezionate Aggiungi (Add) > Nuovo progetto (New Project).

Immettere il nome di un progetto, ad esempio: PKI_Trustpoint_Changes.

Fare clic su Continue (Continua).

3. Creare un nuovo modello CLI

Selezionare il progetto appena creato.

Fare clic su Aggiungi > Nuovo modello.

Immettere un nome per il modello, ad esempio: Configure_sdn_network_infra_iwan_Trustpoint.

Impostare Tipo modello su Modello regolare.

Impostare il tipo di software su Cisco IOS XE.

Selezionare la famiglia o la serie di dispositivi appropriata per i dispositivi Cisco IOS XE desiderati.

Fare clic su Continue (Continua).

4. Aggiungere la configurazione CLI

Nell'Editor modelli, immettere i seguenti comandi:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5. Confermare il modello

Dopo aver salvato il modello, fare clic su Azioni e selezionare Conferma.

Immettere un messaggio di commit, ad esempio:Aggiorna l'hash del trust point a sha512.

Confermare il commit.

6. Creare un profilo di rete

  1. Specificare un nome di profilo
  2. Specificare un tipo di profilo. es.  Switching
  3. Vai a "Modello/i Day-N"
  4. Allega il modello tramite Aggiungi modello
  5. Salvataggio del profilo di rete
  6. Assegnare il profilo di rete a un sito

7. Eseguire il provisioning del modello su un dispositivo

Nella pagina Progettazione > Modelli CLI, selezionare il modello.

Fare clic su Modelli di provisioning.

Immettere il nome di un'attività, ad esempio:Trustpoint_Update_Device1.

Nel passaggio di selezione del dispositivo, selezionare solo un dispositivo Cisco IOS XE.

Fare clic su Avanti.

Esaminare l'assegnazione del modello applicabile.

Poiché non vengono utilizzate variabili di modello, procedere al passaggio successivo.

Nella schermata Anteprima verificare che i comandi siano corretti.

Fare clic su Distribuisci.

8. Confermare lo stato della distribuzione nel Catalyst Center:

Passare ad Attività > Task.

Verificare che la distribuzione sia stata completata.

Se la distribuzione non è riuscita, esaminare i dettagli dell'attività e l'output degli errori prima di riprovare.

9. Ripetere l'operazione per altri dispositivi

Ripetere questo processo di distribuzione per ogni singolo dispositivo Cisco IOS XE.

Utilizzare un nome di attività distinto per ciascun dispositivo per semplificare la registrazione e la risoluzione dei problemi.

10.  Verificare la configurazione nel dispositivo
Al termine della distribuzione, connettersi alla CLI del dispositivo ed eseguire:

show run | sec crypto pki trustpoint sdn-network-infra-iwan

Confermare che la configurazione corrente includa le seguenti linee:

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

Opzione 2: aggiornare Catalyst Center alla versione 2.3.7.11,2.3.7.9 PSMU80 o 2.3.7.10 PSMU140.

La SMU (Software Maintenance Update) è disponibile in System > Software Management nell'interfaccia utente di Catalyst Center. Se non è possibile visualizzare la SMU, aprire una richiesta di assistenza TAC e fornire l'ID membro.

Opzione 3: aggiornare il dispositivo Cisco IOS XE interessato alla versione 17.12.5 o successive della versione consigliata da Cisco.

Identificazione del dispositivo Cisco IOS XE interessato:

Passaggio 1:  Convalidare il certificato del dispositivo e lo stato del trust point sul dispositivo Cisco IOS XE interessato.

device# show crypto pki certificates verbose sdn-network-infra-iwan

Output di esempio:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

Nota: Se la data di fine e la data di rinnovo sono precedenti alla data corrente sul dispositivo, il certificato è scaduto.

Passaggio 2: Controllare il registro errori sul dispositivo.

Output di esempio:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

Passaggio 3: Controllare lo stato della telemetria del dispositivo in Catalyst Center

Output di esempio:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

Nota: In questo esempio la connessione di telemetria non è attiva, ma solo nello stato Connessione.

Ulteriori informazioni:

Quando il certificato del dispositivo è già scaduto e il dispositivo è in uno stato danneggiato, eseguire i due passaggi seguenti:

Passaggio 1:  Forza telemetria push dall'interfaccia utente di Catalyst Center

  1. Selezionare Menu > Assegna > Magazzino
  2. Selezionare i dispositivi in base al nome host
  3. Selezionare Azioni > Telemetria > Aggiorna impostazioni di telemetria
  4. Abilita imposizione Push Di Configurazione
  5. Procedere con la procedura guidata e inviare l'attività

Passaggio 2:  Aggiornare l'algoritmo hash per il trust point tosha512 sul dispositivo:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

Domande frequenti:

L'installazione dell'unità SMU risolve il problema di un sistema già danneggiato o è preventiva?
La SMU è una correzione preventiva e deve essere installata prima che si verifichi il problema. Se il problema si è già verificato, l'installazione della SMU non lo cancella automaticamente. Per ripristinare i sistemi guasti esistenti, consultare la sezione delle informazioni aggiuntive.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
3.0
08-May-2026
Release iniziale
1.0
08-Apr-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Muhilan Natarajan
    Tecnico principale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti