リリース17.12.1 ～ 17.12.4を実行しているCatalyst Center管理型IOS XEデバイスで、PKI証明書の更新エラーが原因でテレメトリ接続がダウンした場合の復旧。

はじめに

このドキュメントでは、テレメトリ接続に障害が発生する理由と、その復元方法について説明します。 

• thesdn-network-infra-iwancertificate(Cisco Catalyst Center - Cisco IOS® XEデバイス)の自動更新が、Cisco IOS XEデバイスでCiscoのバグにより失敗する場合があります ID CSCwk39268  cisco IOS XEデバイスのオペレーティングシステム上で実行されると、影響を受けるデバイスからCatalyst Centerに送信されるテレメトリがダウンします。
• 証明書は1年間有効で、通常は有効期限の約60日前にCatalyst Centerによって自動的に更新されます。
• この問題の影響を受けるお客様、または影響を受ける可能性のあるお客様は、Catalyst Centerでポップアップメッセージを確認できます。

影響のあるリリース：

• バージョン17.12.1 ～ 17.12.4を実行しているCisco IOS XEネットワークデバイスを管理する2.3.7.11より前のCatalyst Centerリリース

解決策：

お客様がこの問題を解決するには、次の3つのオプションのいずれかを使用する必要があります。

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

5. テンプレートを確定します。

テンプレートを保存したら、ActionをクリックしてselectCommitを選択します。

コミットメッセージを入力します。例：Update trustpoint hash to sha512

コミットを確認します。

6. デバイスへのテンプレートのプロビジョニング

Design > CLI Templatesページで、テンプレートを選択します。

[Provision Templates]をクリックします。

タスク名を入力します(Trustpoint_Update_Device1など)。

デバイス選択ステップで、Cisco IOS XEデバイスのみ選択します。

Next をクリックします。

該当するテンプレート割り当てを確認します。

テンプレート変数は使用されないため、次の手順に進みます。

プレビュー画面で、コマンドが正しいことを確認します。

[今すぐ展開]をクリックします。

7. Catalyst Centerで展開ステータスを確認します。

「活動」>「タスク」にナビゲートします。

導入が正常に完了したことを確認します。

展開に失敗した場合は、再試行する前にタスクの詳細とエラー出力を確認してください。

8. 追加デバイスに対して繰り返します

Cisco IOS XEデバイスごとに個別にこの展開プロセスを繰り返します。

デバイスごとに個別のタスク名を使用して、追跡とトラブルシューティングを簡素化します。

9. デバイスの設定を確認する
導入が完了したら、デバイスのCLIに接続し、次のコマンドを実行します。

show run | sec crypto pki trustpoint sdn-network-infra-iwan

実行コンフィギュレーションに次の行が含まれていることを確認します。

crypto pki trustpoint sdn-network-infra-iwan
hash sha512

オプション2:Catalyst Centerを2.3.7.11、2.3.7.9 PSMU80、または2.3.7.10 PSMU140にアップグレードします。

SMU(Software Maintenance Update)は、Catalyst Center GUIのSystem > Software Managementで入手できます。SMUが表示されない場合は、TACサービスリクエストを開いて、メンバーIDを提供してください。

オプション3:影響を受けたCisco IOS XEdeviceをシスコの推奨リリースの17.12.5以降にアップグレードします。

影響を受けるCisco IOS XEデバイスの特定：

ステップ1：影響を受けるCisco IOS XEデバイスでデバイス証明書とトラストポイントのステータスを検証します。

device# show crypto pki certificates verbose sdn-network-infra-iwan

出力例：

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

注：終了日と更新日がデバイスの現在の日付より前である場合、証明書は期限切れになっています。

ステップ2：デバイスのエラーログを確認します。

出力例：

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

ステップ3:Catalyst Centerでデバイスのテレメトリステータスを確認します

出力例：

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

注：この例では、テレメトリ接続はConnecting状態だけでup状態ではありません。

関連情報

デバイスの証明書がすでに期限切れになっていて、デバイスが機能縮退の状態である場合は、次の2つの手順を実行します。

ステップ1:Catalyst Center GUIからプッシュテレメトリを強制的に実行します

1. 「メニュー」>「プロビジョニング」>「在庫」に移動します。
2. ホスト名でデバイスを選択
3. 「アクション」 > 「遠隔測定」 > 「遠隔測定設定の更新」の順に選択します。
4. 強制構成のプッシュを有効にする
5. ウィザードに従ってタスクを送信します

ステップ2:デバイスのトラストポイントtosha512のハッシュアルゴリズムを更新します。

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

FAQ：

SMUをインストールすると、すでに影響を受けているシステムが修正されますか、それとも予防的ですか。
SMUは予防的な修正であり、問題が発生する前にインストールする必要があります。問題がすでに発生している場合、SMUをインストールしても問題は自動的にクリアされません。障害が発生した既存のシステムを回復するには、「追加情報」セクションを確認してください。