Ripristinare la connettività di telemetria inattiva a causa di errori di rinnovo del certificato PKI su dispositivi IOS-XE gestiti da Catalyst Center con versioni da 17.12.1 a 17.12.4.

Opzioni per il download

PDF (261.9 KB)
Visualizza con Adobe Reader su diversi dispositivi

Aggiornato:28 aprile 2026

ID documento:225713

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Introduzione

Versioni interessate:

Risoluzione:

Opzione 1: quando il certificato del dispositivo sta per scadere e non è ancora scaduto:

Opzione 2: aggiornare Catalyst Center alla versione 2.3.7.11, 2.3.7.9 PSMU80 o 2.3.7.10 PSMU140.

Opzione 3: Aggiornare il dispositivo Cisco IOS XE interessato alla versione 17.12.5 o successive a una versione consigliata di Cisco.

Identificazione del dispositivo Cisco IOS XE interessato:

Passaggio 1: Convalidare il certificato del dispositivo e lo stato del trust point sul dispositivo Cisco IOS XE interessato.

Passaggio 2: Controllare il registro errori sul dispositivo.

Passaggio 3: Controllare lo stato della telemetria del dispositivo in Catalyst Center

Ulteriori informazioni:

Domande frequenti:

Introduzione

Questo documento descrive i motivi alla base degli errori delle connessioni di telemetria e come ripristinarle.

Il rinnovo automatico del certificato dn-network-infra-wan (Cisco Catalyst Center - Cisco IOS® XE dispositivo) può non riuscire su un dispositivo Cisco IOS XE a causa di un bug di Cisco ID CSCwk39268 sul sistema operativo del dispositivo Cisco IOS XE, causando l'interruzione della telemetria inviata dai dispositivi interessati al Catalyst Center.
Il certificato è valido per un anno e viene normalmente rinnovato automaticamente da Catalyst Center circa 60 giorni prima della scadenza.
I clienti interessati da questo problema, o che potrebbero essere interessati, possono visualizzare un messaggio popup in Catalyst Center.

Versioni interessate:

Release di Catalyst Center precedenti alla versione 2.3.7.11 gestione di dispositivi di rete Cisco IOS XE con versioni 17.12.1-17.12.4

Risoluzione:

I clienti devono utilizzare una di queste tre opzioni per risolvere il problema.

Opzione 1: quando il certificato del dispositivo sta per scadere e non è ancora scaduto:

Per più dispositivi Cisco IOS XE, è possibile eseguire il push di questo modello da Catalyst Center.

1. Accesso a Catalyst Center

Accedere a Catalyst Center.

Dal menu principale, passare a Progettazione > Modelli CLI.

2. Creazione di un progetto modello

Selezionate Aggiungi (Add) > Nuovo progetto (New Project).

Immettere il nome di un progetto, ad esempio PKI_Trustpoint_Changes.

Fare clic su Continue (Continua).

3. Crea un nuovo modello CLI

Selezionare il progetto appena creato.

Fare clic su Aggiungi > Nuovo modello.

Immettere un nome di modello, ad esempio Configure_sdn_network_infra_iwan_Trustpoint.

Impostare Tipo modello su Modello regolare.

Impostare il tipo di software su Cisco IOS XE.

Selezionare la famiglia o la serie di dispositivi appropriata per i dispositivi Cisco IOS XE desiderati.

Fare clic su Continue (Continua).

4. Aggiunta della configurazione CLI

Nell'Editor modelli, immettere i seguenti comandi:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5. Eseguire il commit del modello

Dopo aver salvato il modello, fare clic su Azioni e selezionare Conferma.

Immettere un messaggio di commit, ad esempio:Aggiorna l'hash del trust point a sha512.

Confermare il commit.

6. Eseguire il provisioning del modello in un dispositivo

Nella pagina Progettazione > Modelli CLI, selezionare il modello.

Fare clic su Modelli di provisioning.

Immettere il nome di un'attività, ad esempio:Trustpoint_Update_Device1.

Nel passaggio di selezione del dispositivo, selezionare solo un dispositivo Cisco IOS XE.

Fare clic su Avanti.

Esaminare l'assegnazione del modello applicabile.

Poiché non vengono utilizzate variabili di modello, procedere al passaggio successivo.

Nella schermata Anteprima verificare che i comandi siano corretti.

Fare clic su Distribuisci.

7. Conferma stato distribuzione in Catalyst Center:

Passare ad Attività > Task.

Verificare che la distribuzione sia stata completata.

Se la distribuzione non è riuscita, esaminare i dettagli dell'attività e l'output degli errori prima di riprovare.

8. Ripetere l'operazione per altre periferiche

Ripetere questo processo di distribuzione per ogni singolo dispositivo Cisco IOS XE.

Utilizzare un nome di attività distinto per ciascun dispositivo per semplificare la registrazione e la risoluzione dei problemi.

9. Verificare la configurazione nel dispositivo
Al termine della distribuzione, connettersi alla CLI del dispositivo ed eseguire:

show run | sec crypto pki trustpoint sdn-network-infra-iwan

Confermare che la configurazione corrente includa le seguenti linee:

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

Opzione 2: aggiornare Catalyst Center alla versione 2.3.7.11,2.3.7.9 PSMU80 o 2.3.7.10 PSMU140.

La SMU (Software Maintenance Update) è disponibile in System > Software Management nell'interfaccia utente di Catalyst Center. Se non è possibile visualizzare la SMU, aprire una richiesta di assistenza TAC e fornire l'ID membro.

Opzione 3: aggiornare il dispositivo Cisco IOS XE interessato alla versione 17.12.5 o successive della versione consigliata da Cisco.

Identificazione del dispositivo Cisco IOS XE interessato:

Passaggio 1: Convalidare il certificato del dispositivo e lo stato del trust point sul dispositivo Cisco IOS XE interessato.

device# show crypto pki certificates verbose sdn-network-infra-iwan

Output di esempio:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

Nota: Se la data di fine e la data di rinnovo sono precedenti alla data corrente sul dispositivo, il certificato è scaduto.

Passaggio 2: Controllare il registro errori sul dispositivo.

Output di esempio:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

Passaggio 3: Controllare lo stato della telemetria del dispositivo in Catalyst Center

Output di esempio:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

Nota: In questo esempio la connessione di telemetria non è attiva, ma solo nello stato Connessione.

Ulteriori informazioni:

Quando il certificato del dispositivo è già scaduto e il dispositivo è in uno stato danneggiato, eseguire i due passaggi seguenti:

Passaggio 1: Forza telemetria push dall'interfaccia utente di Catalyst Center

Selezionare Menu > Assegna > Magazzino
Selezionare i dispositivi in base al nome host
Selezionare Azioni > Telemetria > Aggiorna impostazioni di telemetria
Abilita imposizione Push Di Configurazione
Procedere con la procedura guidata e inviare l'attività

Passaggio 2: Aggiornare l'algoritmo hash per il trust point tosha512 sul dispositivo:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

Domande frequenti:

L'installazione dell'unità SMU risolve il problema di un sistema già danneggiato o è preventiva?
La SMU è una correzione preventiva e deve essere installata prima che si verifichi il problema. Se il problema si è già verificato, l'installazione della SMU non lo cancella automaticamente. Per ripristinare i sistemi guasti esistenti, consultare la sezione delle informazioni aggiuntive.

Cronologia delle revisioni

Revisione	Data di pubblicazione	Commenti
2.0	28-Apr-2026	Release iniziale
1.0	08-Apr-2026	Versione iniziale

Contributo dei tecnici Cisco

Muhilan Natarajan
Tecnico principale

Questo documento ti è stato utile?

Feedback

Contattaci

Apri una richiesta di assistenza
(Occorre un contratto di servizio Cisco)

Questo documento si applica a questi prodotti

Catalyst Center