はじめに
このドキュメントでは、2022 年 12 月 4 日以降に AireOS と C9800 ワイヤレス LAN コントローラ(WLC)の両方で確認された IOS アクセスポイント(AP)の参加失敗について詳しく説明します。この問題は、Cisco Bug CSCwd80290 および Field Notice FN72524 によって追跡されたもので、AP イメージ署名証明書の検証の失敗が原因で発生します。
該当製品
この問題は、IOS を実行するすべての Lightweight アクセスポイントに影響します。これには、802.11ac Wave 1 AP(IW3702/3700/2700/1700/1570 シリーズ)およびそれ以前の AP(700/1530/1550/3600/2600/1600/3500/AP802/AP803 シリーズ)が該当します。影響を受ける Lightweight IOS イメージは、2012 年 12 月から 2022 年 11 月までに構築されたものです。AireOS、Catalyst 9800 シリーズ、および統合アクセスコントローラが影響を受けます。 AP-COSが稼働するAP(802.11ac Wave 2、Wi-Fi 6、Wi-Fi 6E AP)は影響を受けず、AutonomousモードのIOS APも影響を受けません。
問題
2022 年 12 月 4 日以降、CAPWAP を介して IOS AP がアップグレードまたはダウングレードされると、ダウンロードされたイメージの署名証明書の検証の失敗が原因で、イメージのダウンロードがループ状態に陥り、WLC に参加できない場合があります。
根本原因
AP IOS イメージにバンドルされているイメージ署名証明書は、2012 年 12 月 4 日に発行され、2022 年 12 月 4 日に期限切れになりました。IOS AP は、ソフトウェアを AP にインストールする前に、この証明書を使用して WLC からダウンロードされたイメージを検証します。そのため、2022 年 12 月 4 日以降、ソフトウェアのアップグレード/ダウングレードまたは異なるバージョンを実行している WLC 間での移動が原因で AP がコードをダウンロードする場合、AP はイメージの検証に失敗し、ダウンロードイメージが無期限のループ状態に陥ります。この問題は、すべての AireOS および IOS-XE バージョンで発生します。
症状
この問題が発生しているかどうかを確認するには、まず WLC で Downloading ステータスのままになっている AP を確認します。 次に、問題を確実に特定するために、影響を受ける AP に ssh、telnet、またはコンソールで接続し、ログを表示します(または syslog サーバーで AP ログを探します)。
AireOS WLC の場合
WLC で、show ap image status(AireOS 8.10)を実行すると、影響を受ける AP が「Downloading」ステータスで表示されます。
8.5 では、show ap image all を使用すると、「Downloading」にゼロ以外の数の AP が表示されます。
(AireOS WLC-8.5) >show ap image all
Total number of APs.............................. 1
Number of APs
Initiated....................................... 0
Downloading..................................... 1
Predownloading.................................. 0
Completed predownloading........................ 0
Not Supported................................... 0
Failed to Predownload........................... 0
Predownload Predownload Flexconnect
AP Name Primary Image Backup Image Status Version Next Retry Time Retry Count Predownload
------------------ -------------- -------------- --------------- -------------- ---------------- ------------ --------------
AP1700 8.5.182.0 0.0.0.0 None None NA NA
(AireOS WLC-8.10) >show ap image status
Total number of APs.............................. X
Total AP's Downloading........................... 1
AP Name Primary Image Download Status
------------------ -------------- ----------------
CAP3702E.4CD4 17.3.6.76 Downloading
IOS-XE C9800 WLC の場合
C9800#show ap summary
9800-L#show ap summary
AP Name Slots AP Model Ethernet MAC Radio MAC Location Country IP Address State
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
AP2702E 2 2702E 0081.c4fb.2e74 843d.c673.10d0 default location 192.168.202.105 Downloading
この問題が発生すると、AP ログに次のようなエラーが表示されます。
SHA-1 AP(2014 年半ば以前に製造)の場合:
*Dec 6 21:35:24.259: Using SHA-1 signed certificate for image signing validation.
*Dec 6 21:35:24.327: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:37:36 UTC Dec 4 2022
*Dec 6 21:35:24.327: Image signing certificate validation failed (1A).
*Dec 6 21:35:24.327: Failed to validate signature
*Dec 6 21:35:24.327: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ9/final_hash)
*Dec 6 21:35:24.327: AP image integrity check FAILED
SHA-2 AP(2014 年半ば以降に製造)の場合:
*Dec 6 08:47:20.159: Using SHA-2 signed certificate for image signing validation.
*Dec 6 08:47:20.223: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_record.c:169 Pkt too old last_seq_num : 11116,Received sequence num: 1 distance: -11115
*Dec 6 08:47:20.227: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022
*Dec 6 08:47:20.227: Image signing certificate validation failed (1A).
*Dec 6 08:47:20.231: Failed to validate signature
*Dec 6 08:47:20.231: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ7c/final_hash)
*Dec 6 08:47:20.231: AP image integrity check FAILED
回避策
修正済みソフトウェアを実行していない場合は、次の手順に従って IOS AP が参加できるようにします。
- NTP を無効にして、コントローラが自動的に時刻を進めないようにします。
AireOS:
(AireOS WLC)>show time
make a note of all configured NTP servers, and delete each one:
(AireOS WLC)>config time ntp delete
IOS-XE:
C9800#show run | i ntp
ntp server ip
C9800#config terminal
(config)#no ntp server ip ! for each configured NTP server
2.WLC の日付を 2022 年 12 月 4 日より前の日付に変更します。ただし、2022 年 11 月 1 日より前には変更しないでください。コントローラまたは新しい AP の証明書が無効になる可能性があるためです。
(AireOS WLC)> config time manual 12/02/22 00:00:00
C9800#clock set 00:00:00 2 Dec 2022
3. WLC の時刻が変更されたことを確認します。
(AireOS WLC)> show time
Time............................................. Fri Dec 2 00:00:02 2022
C9800#show clock
00:00:02.573 Fri Dec 2 2022
4. すべての AP が新しいイメージで Registered 状態になるまで待ちます。
注:場合によっては、AP を参加させるために、日付の変更後に AP の再起動が必要になることがあります。ただし、AP を再起動する前に、AP が再び参加できるように少なくとも 30 分待ってください。
5. NTP を再度有効にします。
(AireOS WLC)>config time ntp server 1
C9800#configure terminal
(config)#ntp server ip
6. コンフィギュレーションを保存します。
(AireOS WLC)>save config
Are you sure you want to save? (y/n) y
C9800#write memory
7. WLC のクロックを再確認します。
(AireOS WLC)>show time
C9800# show clock
修正済みソフトウェアへのアップグレード
AireOS WLC の場合
- ダウンロード状態のままになっている AP がある場合は、ソフトウェアにアップグレードする前に、AP がダウンロードを完了して Registered 状態で起動できるように、コントローラの時間を設定します。
- 時間を戻す方法の詳細については、上記の回避策のセクションを参照してください。
-
運用上の理由で時間を戻すことができない場合、影響を受ける IOS AP がコントローラに参加しようとするのをブロックします。それは、たとえばスイッチポートをシャットダウンしたり、CAPWAP をブロックする ACL をインストールするといった方法で行うことができます。
- Downloading 状態の AP がなくなったため、WLC の時間が現在の時間に設定されていることを確認します(NTP を再度有効にします)。
- AireOS WLC に修正済みソフトウェアをインストールします(8.10.183.0 以降。8.5 からアップグレードできない場合は、8.5 メインラインを使用している場合は 8.5.182.7 を使用し、8.5 IRCM の場合は 8.5.182.105 を使用します)。 修正済みソフトウェアをダウンロードするには、次のリンクを参照してください。
8540:https://software.cisco.com/download/home/286284728/type/280926587/release/8.10.183.0
5520:https://software.cisco.com/download/home/286284738/type/280926587/release/8.10.183.0
3504:https://software.cisco.com/download/home/286312601/type/280926587/release/8.10.183.0
vWLC:https://software.cisco.com/download/home/284464214/type/280926587/release/8.10.183.0
8.5.182.7(8.5 メインライン):https://software.cisco.com/download/specialrelease/8f166c6d88b9f77aabb63f78affa9749
8.5.182.105(8.5 IRCM):https://software.cisco.com/download/specialrelease/bc334964055fbd9440834f008e5aca34
- (任意)リブートする前に、参加している AP に修正済みソフトウェアを事前にダウンロードします。
- WLC のリブート.
- APスイッチポートまたはブロックされたCAPWAPをシャットダウンする場合は、ブロックを削除して、IOS APが再加入およびアップグレードできるようにしてください。
IOS-XE 9800 WLC の場合
1. 17.3.6、17.6.4、17.9.2 IOS-XE ソフトウェアを 9800 フラッシュにダウンロードします。ご使用の環境の AP モデルと使用中の機能に基づいて、ご使用の環境に最適なバージョンを選択するには、「Catalyst 9800 ワイヤレス LAN コントローラの推奨 Cisco IOS XE リリース」を参照してください。
2. 17.3.6 APSP7 または 17.6.4 APSP1 または 17.9.2 APSP1 ファイル(IOS AP 修正付き)を 9800 フラッシュにダウンロードします。
- 17.3.6:CSCwd83653/CSCwe10047 を介した 17.3.6 APSP7(APSP2 および APSP5 にも修正が含まれています)
9800-40:https://software.cisco.com/download/home/286316412/type/286325254/release/17.3.6
9800-80:https://software.cisco.com/download/home/286321396/type/286325254/release/17.3.6
9800-CL:https://software.cisco.com/download/home/286322605/type/286325254/release/17.3.6
9800-L:https://software.cisco.com/download/home/286323430/type/286325254/release/17.3.6
9800-40:https://software.cisco.com/download/home/286316412/type/286325254/release/17.6.4
9800-80:https://software.cisco.com/download/home/286321396/type/286325254/release/17.6.4
9800-CL:https://software.cisco.com/download/home/286322605/type/286325254/release/17.6.4
9800-L:https://software.cisco.com/download/home/286323430/type/286325254/release/17.6.4
9800-40:https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2
9800-80:https://software.cisco.com/download/home/286321396/type/286325254/release/17.9.2
9800-CL:https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2
9800-L:https://software.cisco.com/download/home/286323430/type/286325254/release/17.9.2
注:
1) 17.3.6 APSP7 には、CSCwd80290 に加え、複数のバグ (CSCvx32806、CSCwc32182、CSCvz99036、CSCwd37092、CSCwc78435、CSCwc88148) に対する修正が含まれています。
2) 17.6.4 APSP1 には、CSCwd80290 (IW3700用)に加え、複数のバグ (CSCwc73090、CSCwc71198、CSCwc78435、CSCwd40731、CSCvx32806) に対する修正が含まれています。
3. 17.3.6 がまだインストールされていない場合は、ここで 17.3.6 IOS-XE をインストールしてリロードします。
C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.SPA.bin activate commit
4. 9800 のリブート後:コントローラの時間が時間内に戻されていた場合は、その時間を現在の時間に設定します(NTP を再度有効にします)。
5. APSP7 をインストールして IOS AP を回復します。
C9800#install add file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install activate file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install commit
よく寄せられる質問(FAQ)
- この問題が原因で、現在登録されている AP が切断されたり、参加できなくなったりすることがありますか。
WLC と同じバージョンを実行している AP は、問題なく動作し続け、正常に起動して参加します。この問題は、イメージアップグレードの一部として実行されるイメージ検証プロセスにのみ影響します。
はい。AP の事前ダウンロードには、AP へのイメージのダウンロードと AP によるイメージの検証が含まれるため、証明書の期限切れとイメージ検証の失敗が同様に発生します。
- 時間の変更によるサービスへの影響は何ですか。お客様は正午にこれを行うことができますか。それとも、ダウンタイムやサービスへの影響が生じるようなメンテナンス期間をスケジュールしなければなりませんか。
コントローラの時間を変更しても、AP の参加とワイヤレスクライアントの接続に対する運用上の影響はありません。ただし、Cisco DNA Center Assurance、CMX、および Cisco(DNA)Spaces が影響を受ける可能性があります。AP が参加し、時間が現在の時間に戻されると、これらのサービスは回復すると予想されます。
- 実稼働コントローラで時間を戻すことができない場合はどうすればよいですか。
実稼働 WLC と同じコードバージョンでステージング WLC をセットアップします(vWLC または 9800-CL も機能します)。ステージング WLC の時間を元に戻し、AP をステージング WLC に参加させます。AP がコードをダウンロードし、ステージング WLC で Registered 状態に移行したら、AP を実稼働 WLC に移動します。
- 修正済みバージョンをインストールする時間を変更する必要はありますか。
AireOS でのみ、AP が downloading 状態のままになっている場合は必要です。詳細については、「修正済みソフトウェアへのアップグレード」のセクションを参照してください。
- 新しい AP を追加するとどうなりますか。
新しい AP にコントローラと同じバージョンがインストールされている場合、AP は問題なく参加できるはずです。
一方、バージョンが一致しない場合、AP は対応するイメージのダウンロードを試みます。コントローラのコードに修正済みの AP バンドルイメージがない場合、説明にあるように AP がアップグレードに失敗し、回避策が必要になります。
コントローラが修正済みバージョンのいずれかにアップグレードされている場合、新しい AP を通常どおりに追加して、アップグレードプロセスを完了できます。
- RMA から受け取ったユニットはどうなりますか。
これは、新しい AP を追加することに相当します。AP イメージの修正が適用されたバージョンのコントローラを実行している場合、AP は正常に参加してアップグレードします。
それ以外の場合は、時間に関する回避策を適用します。
- 操作のために時間を変更したままにしておく必要がありますか。
いいえ。AP のアップグレードプロセスが完了したら、コントローラを現在の時間に戻し、NTP を再度有効にすることができます。
- AP ログに「%PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificate chain validation has failed.」というエラーが表示されます。証明書(SN:xx)はまだ有効ではありません。有効期間は 2022 年 3 月 1 日 の HH:MM:SS UTC から始まります。 これは同じ症状ですか、それとも新しい症状ですか。
このエラーは、WLC のクロックが証明書の開始日である 2022 年 3 月 1 日よりも後に設定されていることを示します(この場合)。 この日付は、WLC が製造された時期、または仮想 WLC で自己署名証明書が生成された時期によって異なります。
WLC のクロックを変更して、証明書を有効にしてください。
- この問題の再発を防ぐために、シスコではどんな対策がとられていますか。
検出されなかった可能性のある同様の問題を特定し、是正措置を実施するために、すべてのエンタープライズ製品の完全な監査を実施しています。
さらに、この問題を修正するために、IOS AP イメージバンドルプロセスに変更が適用されました。