リリース17.12.1 ~ 17.12.4を実行しているCatalyst Center管理型IOS XEデバイスで、PKI証明書の更新エラーが原因でテレメトリ接続がダウンした場合の復旧。

ダウンロード オプション

  • PDF     (315.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2026 年 4 月 8 日
Document ID:225713

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、テレメトリ接続に障害が発生する理由と、その復元方法について説明します。 

  • Cisco IOS XEデバイス上のsdn-network-infra-iwancertificate(Cisco Catalyst Center - Cisco IOS® XEデバイス)の自動更新が、Cisco IOS XEデバイスのオペレーティングシステム上でCisco Bug ID CSCwk39268が原因で失敗し、該当するデバイスからCatalyst Centerに送信されるテレメトリががされる原因になる可能性があります。
  • 証明書は1年間有効で、通常は有効期限の約60日前にCatalyst Centerによって自動的に更新されます。
  • この問題の影響を受けるお客様、または影響を受ける可能性のあるお客様は、Catalyst Centerでポップアップメッセージを確認できます。

影響のあるリリース:

  • バージョン17.12.1 ~ 17.12.4を実行しているCisco IOS XEネットワークデバイスを管理する2.3.7.11より前のCatalyst Centerリリース

解決策:

お客様がこの問題を解決するには、次の3つのオプションのいずれかを使用する必要があります。

オプション1:Catalyst Centerを2.3.7.112.3.7.9 PSMU60、または2.3.7.10 PSMU110にアップグレードする。SMU(Software Maintenance Update)は、Cisco Catalyst Center GUIのSystem > Software Managementでアップグレードに使用できます。

オプション2:該当するCisco IOS XEデバイスをシスコの推奨リリースの17.12.5以降にアップグレードします。

オプション3:次のように、Catalyst Center GUIからテレメトリを強制的にプッシュし、デバイスのトラストポイントのハッシュアルゴリズムをsha512に更新します。

  1. メニュー>プロビジョニング>インベントリに移動します。
  2. ホスト名でデバイスを選択
  3. Actions > Telemetry > Update Telemetry Settingsの順に選択します。
  4. 強制構成のプッシュを有効にする
  5. ウィザードに従ってタスクを送信します

影響を受けるCisco IOS XEデバイスの特定:

ステップ1:影響を受けるCisco IOS XEデバイスでデバイス証明書とトラストポイントのステータスを検証します。

device# show crypto pki certificates verbose sdn-network-infra-iwan

出力例:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

注:終了日と更新日がデバイスの現在の日付より前である場合、証明書は期限切れになっています。

ステップ2:デバイスのエラーログを確認します。

出力例:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

ステップ3:Catalyst Centerへのデバイスのテレメトリステータスを確認します。

出力例:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

注:この例では、テレメトリ接続はConnecting状態だけでup状態ではありません。

関連情報

(a.) 複数のCisco IOS XEデバイスの場合、Design > CLI Templates toolsの順に選択してCLIテンプレートをプロビジョニングすることにより、Catalyst Centerからこのテンプレートをプッシュできます。

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

(ロ) ハッシュの更新後にテレメトリプッシュを強制 

  1. メニュー>プロビジョニング>インベントリに移動します。
  2. ホスト名でデバイスを選択
  3. Actions > Telemetry > Update Telemetry Settingsの順に選択します。
  4. 強制構成のプッシュを有効にする
  5. ウィザードに従ってタスクを送信します

FAQ:SMUをインストールすると、すでに影響を受けているシステムが修正されますか、それとも予防的ですか。
SMUは予防的な修正であり、問題が発生する前にインストールする必要があります。問題がすでに発生している場合、SMUをインストールしても問題は自動的にクリアされません。障害が発生した既存のシステムをリカバリするには、オプション3を選択します。

更新履歴

改定 発行日 コメント
1.0
08-Apr-2026
初版
TAC Authored

シスコ エンジニア提供

  • ムヒラン・ナタラジャン
    主任エンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています