はじめに

このドキュメントでは、Catalyst 9800 WLCでのポリシー(SLUP)を使用したSmart Licensing(SLUP)の設定とトラブルシューティングについて説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ポリシーを使用したスマートライセンス(SLUP)
• Catalyst 9800ワイヤレスLANコントローラ(WLC)

• シスコネットワーキングサブスクリプション

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

1. Cisco License Centralへの直接接続
2. CSLU(Cisco Smart License Utility Manager)経由でCisco License Centralに接続
3. Cisco License Central（オンプレミス）経由で接続

この記事では、Catalyst 9800のすべてのスマートライセンスのシナリオについて説明しているわけではありません。詳細については、『ポリシー設定を使用したスマートライセンスの設定ガイド』を参照してください。ただし、この記事では、Catalyst 9800でのポリシーを使用した直接接続、CSLU、およびオンプレミスのSmart Licensingの問題をトラブルシューティングするための一連の便利なコマンドを示します。

オプション 1Cisco License Centralへの直接接続：

オプション 2CSLU経由の接続：

オプション 3Cisco License Central（オンプレミス）を使用して接続します。

注：この記事に記載されているすべてのコマンドは、バージョン17.3.2以降を実行するWLCにのみ適用できます。

Unified Licensing、Enforcement、およびSLUP

シスコネットワーキングサブスクリプションで利用できるUnified Licensingは、オンプレミスのお客様にライセンスを適用します。

• Cisco IOS® XE 17.15.2（2024年12月）は、統合ライセンスで最初にサポートされたリリースで、デバイスごとのライセンスレポートとコンプライアンスステータスが導入されました。
• 将来のCisco IOS XEリリースでは、ライセンス不要のAPに対してはDay 0が、ライセンス期限切れのデバイスに対してはDay Nが適用されます。コンプライアンス違反のデバイスでは、ソフトウェアイメージが更新されたときに適用されます。

デバイスがCisco IOS XEソフトウェアイメージのアップグレード時に適用されないようにするために、このガイドの手順を完了することは、デバイスがSLUPを使用して正しく設定されていることを確認するために重要です。

Unified LicensingでのAPコンプライアンスの確認

図1:Web UI AP準拠（非準拠）

APコンプライアンス情報は、コントローラ（Merakiダッシュボード、Catalyst Center 2.3.7.9）およびデバイス(Web UI、CLI)で入手できます。

図1は、Web UI上のAPコンプライアンス情報の例を示しています。コンプライアンスに違反しているAPには、非準拠のライセンス状態があり、そのAPに「ライセンスがない」という推論が与えられます。

SLUPが正しく設定されると、APは更新された準拠ステータスを反映します。

図1:Web UI AP準拠（準拠）

従来のライセンスとSLUP

ポリシーを使用したスマートライセンス機能は、コードバージョン17.3.2でCatalyst 9800に導入されました。最初の17.3.2リリースでは、17.3.3リリースで導入されたWLC WebUIのSLUP設定メニューが表示されません。SLUPは、いくつかの点で従来のスマートライセンスと異なります。

• WLCは、smartreceiver.cisco.comドメインではなく、tools.cisco.comドメインを介してCisco License Centralと通信します。
• WLCは登録する代わりに、Cisco License Centralまたはオンプレミスで信頼を確立するようになりました。
• CLIコマンドは若干変更されています。
• Smart Licensing Reservation(SLR)は、もはや存在しません。代わりに、使用状況を手動で定期的にレポートできます。

コンフィギュレーション

直接接続Cisco License Central

トークンがCisco License Centralで作成されたら、信頼を確立するために、次のコマンドを実行する必要があります。

注：Token Max.HA SSOのWLCの場合、使用数は2以上である必要があります。

configure terminal
ip http client source-interface 
ip http client secure-trustpoint 
license smart transport smart
license smart url default
exit
write memory
terminal monitor
license smart trust idtoken  all force

• ip http client source-interfaceコマンドでは、ライセンス関連のパケットの送信元となるL3インターフェイスを指定します。
• ip http client secure-trustpointコマンドは、Cisco License Centralの通信に使用するトラストポイント/証明書を指定します。トラストポイント名は、show crypto pki trustpointsコマンドを使用して確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書または製造元でインストールされる証明書（MICとも呼ばれ、9800-40、9800-80、および9800-Lでのみ使用可能）を使用することをお勧めします。通常はCISCO_IDEVID_SUDIと呼ばれます。
• terminal monitorコマンドは、WLCにログをコンソールに出力させ、信頼が正常に確立されたことを確認できるようにします。terminal no monitorを使用して無効にできます。
• 最後のコマンドのキーワードallは、HA SSOクラスタ内のすべてのWLCに、Cisco License Centralとの信頼を確立するように指示します。
• キーワードforceを指定すると、WLCは以前に確立された信頼のいずれかを上書きし、新しい信頼を試行します。

注：信頼が確立されていない場合、9800はコマンドの実行後1分後に再試行し、その後しばらく再試行しません。新しい信頼確立を強制するには、再度tokenコマンドを入力します。

CSLUに接続

Cisco Smart License Utility Manager(CSLU)は、Windowsベースのアプリケーション（Linuxでも使用可能）です。これを使用すると、お客様は、スマートライセンス対応の製品インスタンスをCisco License Centralに直接接続しなくても、ライセンスおよび関連する製品インスタンスを社内から管理できます。

このセクションでは、9800ワイヤレス設定のみを取り上げます。CSLUを使用してライセンスを設定するために実行する手順は他にもあります（CSLUのインストール、CSLUソフトウェアの設定など）。これについては設定ガイドで説明しています。製品のインスタンス開始による通信方法とCSLU開始による通信方法のどちらを実装するか、または対応する一連のタスクを実行するか。

製品インスタンス起動 

1. コントローラからCSLUへのネットワーク到達可能性を確認します。
2. トランスポートタイプがcsluに設定されていることを確認します。 

   (config)#license smart transport cslu
   (config)#exit
   #copy running-config startup-config

3. コントローラでCSLUを検出する場合は、次の操作を実行する必要があります。DNSを使用してCSLUを検出する場合は、何もする必要はありません。URLを使用して検出する場合は、次のコマンドを入力します。 
   

   (config)#license smart url cslu http://:8182/cslu/v1/pi
   (config)#exit
   #copy running-config startup-config

CSLU開始 

CSLUが開始する通信を設定する場合に必要な唯一のアクションは、コントローラからCSLUへのネットワーク到達可能性を確認し、確認することです。 

オンプレミスのCisco License Centralに接続

オンプレミスのCisco License Centralによる設定は、直接接続に非常によく似ています。オンプレミスでは、バージョン8-202102以降を実行する必要があります。SLUPリリース（17.3.2以降）では、CSLU URLとトランスポートタイプを使用することを推奨します。URLは、オンプレミスWebUIインターフェイスのSmart Licensing > Inventory > <Virtual Account> > Generalセクションから取得できます。

configure terminal
 ip http client source-interface 
 ip http client secure-trustpoint 
 license smart transport cslu
 license smart url cslu http:///cslu/v1/pi/ (see previous paragraph on how to get exact URL)
 crypto pki trustpoint SLA-TrustPoint
  revocation-check none 
 exit
write memory
terminal monitor

オンプレミスのCisco License Centralでは、信頼トークンを使用する必要はありません。

HTTPSプロキシによるスマートトランスポートの設定

スマートトランスポートモードの使用時にプロキシサーバを使用してCisco License Centralと通信するには、次の手順を実行します。

configure terminal
  ip http client source-interface 
  ip http client secure-trustpoint 
  license smart transport smart
  license smart url default
  license smart proxy address 
  license smart proxy port 
exit
write memory
terminal monitor
license smart trust idtoken  all force

通信周波数

CLIまたはGUIで設定できるレポート間隔は影響しません。

9800 WLCは、WebインターフェイスまたはCLIを使用して設定されたレポート間隔に関係なく、8時間ごとにCisco License Centralまたはオンプレミスと通信します。つまり、新しく加入したアクセスポイントは、最初に加入してから8時間後までCisco License Centralに表示されます。

次回ライセンスが計算されて報告されるタイミングは、show license air entities summaryコマンドで確認できます。このコマンドは、一般的なshow techまたはshow license allの出力には含まれていません。

WLC#show license air entities summary 
Last license report time........................: 07:38:15.237 UTC Fri Aug 27 2021
Upcoming license report time....................: 15:38:15.972 UTC Fri Aug 27 2021
No. of APs active at last report................: 3
No. of APs newly added with last report.........: 0
No. of APs deleted with last report..............: 0

ライセンスの初期設定へのリセット

Catalyst 9800 WLCでは、すべてのライセンス設定とtrust factoryによるリセットを使用でき、その他の設定は保持できます。これにはWLCのリロードが必要です。

WLC-1#license smart factory reset
%Warning: reload required after "license smart factory reset" command

ライセンスを工場出荷時状態にリセットした後、AirGapモードの場合は、WLCのライセンスを再度取得する前に1時間待機する必要があることに注意してください。

RMAまたはハードウェア交換の場合

9800 WLCを交換する必要がある場合、新しいデバイスをCisco License Central/オンプレミスに登録する必要があり、新しいデバイスとして認識されます。以前のデバイスのライセンス数をリリースするには、「製品インスタンス」で手動で削除する必要があります。

特定のライセンス登録(SLR)からのアップグレード

17.3.2よりも前の古いWLCリリースでは、Specific License Registration(SLR)と呼ばれる特別なオフラインライセンス方式が使用されていました。 このライセンス方式は、SLUP （17.3.2以降）を使用するリリースでは廃止されています。

SLRを使用していた9800コントローラをリリース17.3.2または17.4.1以降にアップグレードする場合は、SLRコマンドに依存するのではなく、オフラインSLUPレポートに移行することをお勧めします。ライセンスの使用状況RUMファイルを保存し、スマートライセンスポータルに登録します。新しいリリースではSLRが存在しなくなったため、正しいライセンス数が報告され、未使用のライセンスが解放されます。ライセンスはブロックされなくなりましたが、正確な使用回数がレポートされます。

トラブルシューティング

インターネットアクセス、ポートチェック、Ping

従来のスマートライセンスが使用していたtools.cisco.comの代わりに、新しいSLUPはsmartreceiver.cisco.comドメインを使用して信頼を確立します。この記事を書いている時点で、このドメインは複数の異なるIPアドレスに解決されます。すべてのアドレスにpingが通るわけではありません。pingは、WLCからのインターネット到達可能性テストとして使用しないでください。これらのサーバに対してpingを実行できないからといって、サーバが正常に動作していないということにはなりません。

pingの代わりに、到達可能性テストとしてポート443経由のtelnetを使用する必要があります。Telnetは、smartreceiver.cisco.comドメインに対してチェックすることも、サーバのIPアドレスに対して直接チェックすることもできます。トラフィックがブロックされていない場合、ポートは出力でオープンとして表示される必要があります。

WLC-1#telnet smartreceiver.cisco.com 443
Trying smartreceiver.cisco.com (192.330.220.90, 443)... Open <-------
[Connection to 192.330.220.90 closed by foreign host]

Syslog

トークンの設定中にterminal monitorコマンドを有効にすると、WLCはCLIで関連ログを出力します。これらのメッセージは、show loggingコマンドを実行して取得することもできます。信頼が正常に確立された場合のログは次のようになります。

WLC-1#license smart trust idtoken <token> all force
Aug 22 12:13:08.425: %CRYPTO_ENGINE-5-KEY_DELETED: A key named SLA-KeyPair has been removed from key storage
Aug 22 12:13:08.952: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named SLA-KeyPair has been generated or imported by crypto-engine
Aug 22 12:13:08.975: %PKI-6-CONFIGAUTOSAVE: Running configuration saved to NVRAM
Aug 22 12:13:11.879: %SMART_LIC-6-TRUST_INSTALL_SUCCESS: A new licensing trust code was successfully installed on P:C9800-CL-K9,S:9PJK8D9OCNB.

DNSサーバが定義されていない、または機能していないDNSサーバがあるWLCのログ：

Aug 23 09:19:43.486: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : Unable to resolve server hostname/domain name 

この場合は、有効なDNSサーバが設定されていることを確認します。使用可能な任意のパブリックDNSサーバIPを自由に使用できます。

ip name-server 

DNSサーバは機能しているが、インターネットにアクセスできないWLCのログ：

Aug 23 09:23:30.701: %SMART_LIC-3-COMM_FAILED: Communications failure with the Cisco Smart Software Manager (CSSM) : No detailed information given

パケット キャプチャ

WLCとCisco License Central/On-Premの間の通信は暗号化され、HTTPS経由で行われますが、パケットキャプチャを実行すると、信頼が確立されない原因が明らかになります。パケットキャプチャを収集する最も簡単な方法は、WLC Webインターフェイスを使用する方法です。

Troubleshooting > Packet Captureの順に移動します。新しいキャプチャポイントを作成します。

Monitor Control Planeチェックボックスが有効になっていることを確認します。バッファサイズを最大100 MBに増やします。キャプチャするインターフェイスを追加します。スマートライセンストラフィックは、デフォルトではワイヤレス管理インターフェイスから、またはip http client source-interfaceコマンドで定義されたインターフェイスから、送信されます。

キャプチャを開始し、license smart trust idtoken <token> all forceコマンドを実行します。

信頼確立のパケットキャプチャには、次の手順を含める必要があります。

1. SYN、SYN-ACK、およびACKシーケンスを使用したTCPセッションの確立
2. サーバとクライアントの両方の証明書交換によるTLSセッションの確立確立は、新しいセッションチケットパケットで終了します
3. WLCがライセンス使用状況をレポートする暗号化パケット交換(アプリケーションデータフレーム)
4. FIN-PSH-ACK、FIN-ACK、およびACKシーケンスによるTCPセッションの終了

注：パケットキャプチャには、TCPウィンドウ更新フレームとアプリケーションデータフレームの倍数を含む、さらに多くのフレームが含まれています

Cisco License Central Cloudは3つの異なるパブリックIPアドレスを使用するため、WLCとCisco License Central間のすべてのパケットキャプチャをフィルタリングするには、次のWiresharkフィルタを使用します。

ip.addr==172.163.15.144 or ip.addr==192.168.220.90 or ip.addr==172.163.15.144 

オンプレミスのCisco License Centralを使用している場合は、Cisco License CentralのIPアドレスをフィルタリングします。

ip.addr==

例:Cisco License Centralに直接接続し、すべての重要なパケットキャプチャをフィルタ処理した、信頼の確立に成功した場合のパケットキャプチャ

show コマンド

次のshowコマンドには、信頼の確立に関する有用な情報が含まれています。

show license status
show license summary
show license tech support
show license air entities summary

show license history message (useful to see the history and content of messages sent to SL)

show tech wireless (actually gets show log and show run on top of the rest which can be useful)

show license history messageコマンドは、WLCから送信され、Cisco License Centralから受信した実際のメッセージを表示できるため、より便利なコマンドの1つです。

信頼が正常に確立されると、「REQUEST: Aug 23 10:18:08 2021 Central」と「RESPONSE: Aug 23 10:18:10 2021 Central」の両方のメッセージが表示されます。RESPONSE行の後に何も表示されない場合は、WLCがCisco License Centralから応答を受信していないことを意味します。

次に、信頼が確立された場合のshow license historyメッセージの出力例を示します。

REQUEST: Aug 23 10:18:08 2021 Central
{"request":"{\"header\":{\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9PJK8D7OC
NB\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"signing_cert_serial_number\":\"3\",\"id_cert_serial_number\":\"59152896
\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":tru
e,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLIC
Y_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9PJK8D7OCNB\\
\"},\\\"timestamp\\\":1629713888600,\\\"nonce\\\":\\\"11702702165338740293\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\
\"original_request_type\\\":\\\"LICENSE_USAGE\\\",\\\"original_piid\\\":\\\"2e84a42f-c903-44c5-83b2-e62e258c780f\\\",\\\"id\\\
":7898262236}\"}","signature":{"type":"SHA256","key":"59152896","value":"eiJ7IuQaTCFxgUkwls76WZxa5DRI5AvRl2Fi1trn6H1x4HrKS/0fc
OgMqQd5POU6VNsH2j9dHco4T1NJ/aCMbR1MRmkfxyVSWsx4lmjJL1lmpOSi3ZS4FBMvlF/EBOUfowREe2oz2lrQp1cAFpPn5SlaFezW80tMdJm08nv29pO8O7Bffyy
/Nu6SQZfIW+IdF+2qnJeNFAIZbNpg0B5d5HIJvDmDImvDu3bMRHhQAWr2KKzGFr6jPz0hs7bGY/+FlfTLQk5LFEUaKTNH/tuxJPFHlF0BtjIRQtAqy5qDpXdjVJokD
h9//uhsd+NaQyfdRFludkbfUBTFkvPxHW9/5w=="}}

  RESPONSE: Aug 23 10:18:10 2021 Central
{"signature":{"type":"SHA256","value":"TXZE034fqAul2jy9V4+HoB2hDShl9au/5sgodiCVatmu671/6MyN7kZfEzREufY8\nOOsh4l+BZ1ZAXyQ/hVf+Q
SLrjTfO4grGeQTcH7yEj0D+gztWXCOu8RBT7/Bo9aBs\n4x1i0E6flPB3BP6yu7KIEUQZ8yHzlwDT+mVtJGi6TRrtYnV3KQMpCUmF5F5Jby78\nVNHOakQHVE0Ozrg
wOksf3SfXreNZJuzWXzjHvtmlusCQXw7ZTBzffYsNKO0lkJlr\nvgB2PkV7JUlsA481kpIvlPul6IiJXqk+2PC2IzCrCLG57lVN3XgX6lcU581P7HK7\nrSt3mfdyK
1pEl2SHyQ/DAw==","piid":null,"cert_sn":null},"response":"{\"header\":{\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"timesta
mp\":1629713890172,\"nonce\":null,\"request_type\":\"POLL_REQ\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"
9PJK8D7OCNB\"},\"agent_actions\":null,\"connect_info\":{\"name\":\"SSM\",\"version\":\"1.3\",\"production\":true,\"capabilitie
s\":[\"DLC\",\"AppHA\",\"EXPORT_2\",\"POLICY_USAGE\",\"UTILITY\"],\"additional_info\":\"\"},\"signing_cert_serial_number\":\"3
\",\"id_cert_serial_number\":\"59152896\",\"product_instance_identifier\":\"\"},\"status_code\":\"FAILED\",\"status_message\":
\"Invalid ProductInstanceIdentifier: 2e84a42f-c903-44c5-83b2-e62e258c780f provided in the polling request for polling id: 7898
262236\",\"retry_time_seconds\":0,\"response_data\":\"\"}","sch_response":null}

デバッグ/btrace

license smart trust idtoken all forceコマンドを使用して信頼確立が試行されてから数分後にこのコマンドを実行します。IOSRPログは非常に詳細です。コマンドに| include smart-agent"を追加して、スマートライセンスのログだけを取得します。

show logging process iosrp start last 5 minutes
show logging process iosrp start last 5 minutes | include smart-agent

また、次のデバッグを実行してから、新しい接続を強制するようにライセンスコマンドを再設定することもできます。

debug license events
debug license errors
debug license agent all

一般的な問題

WLCにインターネットアクセスがない、またはファイアウォールがトラフィックをブロック/変更する

WLCの組み込みパケットキャプチャを使用すると、WLCがCisco License Centralまたはオンプレミスから受信したものがあるかどうかを簡単に確認できます。応答がない場合、ファイアウォールが何かをブロックしている可能性があります。

show license history messageコマンドは、Cisco License Central Cloudまたはオンプレミスから応答を受信しなかった場合、要求が送信された後1秒後に空の応答を出力します。

たとえば、空の応答が受信されたと思い込みがちですが、実際には応答が全くありませんでした。

REQUEST: Jun 29 11:12:39 2021 CET
{"request":"{\"header\":{\"request_type\":\"ID_TOKEN_TRUST\",\"sudi\":{\"udi_pid\":\"C9800-CL-K9\",\"udi_serial_number\":\"9V4ZPZPN8DW\"},\"version\":\"1.3\",\"locale\":\"en_US.UTF-8\",\"product_instance_identifier\":\"\",\"connect_info\":{\"name\":\"C_agent\",\"version\":\"5.0.9_rel/68\",\"production\":true,\"additional_info\":\"\",\"capabilities\":[\"UTILITY\",\"DLC\",\"AppHA\",\"MULTITIER\",\"EXPORT_2\",\"OK_TRY_AGAIN\",\"POLICY_USAGE\"]}},\"request_data\":\"{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"timestamp\\\":1624957959810,\\\"nonce\\\":\\\"12527456165463158693\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"hostname\\\":\\\"myc9800-CL\\\",\\\"token\\\":\\\"ZmI3YmNmYzYtNTdhZC00N2QwLTkyMjUtOTVmMjM5YmYzNzNlLTE2Mjc1NDkx%0AODEyMjN8Tkw4YU9zaTJDa045K2U3aG5xdlp2SE9VOGJxMkJmc0dNMWpKT0FJ%0AeUZqUT0%3D%0A\\\",\\\"mode\\\":\\\"PERMANENT\\\",\\\"force\\\":false,\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"device_list\\\":[{\\\"sudi\\\":{\\\"udi_pid\\\":\\\"C9800-CL-K9\\\",\\\"udi_serial_number\\\":\\\"9V4ZPZPN8DW\\\"},\\\"software_tag_identifier\\\":\\\"regid.2018-05.com.cisco.WLC_9500C,1.0_85665885-b865-4e32-8184-5510412fcb54\\\",\\\"product_instance_identifier\\\":\\\"\\\",\\\"csr\\\":\\\"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\\\",\\\"id_cert_sn\\\":\\\"\\\"}]}\"}"}
RESPONSE: Jun 29 11:12:40 2021 CET

注：現在、機能拡張要求Cisco Bug ID CSCvy84684（登録ユーザ専用）が存在します。この要求により、応答がない場合にshow license historyメッセージには空の応答が表示されます。これは、show license history messageコマンドの出力を拡張することです

パケットキャプチャの不明なCAアラート

Cisco License Centralまたはオンプレミスとの通信には、9800側で適切な証明書が必要です。自己署名できますが、無効または期限切れにすることはできません。この場合、9800 HTTPクライアント証明書の期限が切れたときにCisco License Centralから送信された不明なCAのTLSアラートがパケットキャプチャに表示されます。

スマートライセンスでは、ip http client設定を使用します。これは、WLC Webインターフェイスで使用されるip http serverとは異なります。つまり、次のコマンドを適切に設定する必要があります。

ip http client source-interface 
ip http client secure-trustpoint 

トラストポイント名は、show crypto pki trustpointsコマンドを使用して確認できます。自己署名証明書TP-self-signed-xxxxxxxxxx証明書または製造元でインストールされる証明書(MIC)を使用することをお勧めします。通常はCISCO_IDEVID_SUDIと呼ばれ、9800-80、9800-40、および9800-Lでのみ使用可能です。

提示されるHTTPS証明書はシスコライセンスサーバ証明書ではなくファイアウォール証明書であるため、SSL復号化機能を備えたファイアウォールなどのTLS代行受信を実行するデバイスは、C9800がシスコライセンスサーバとの正常なハンドシェイクを確立することを妨げる可能性があることに注意してください。

注：source-interfaceコマンドとsecure-trustpointコマンドの両方が設定されていることを確認してください。WLCにL3インターフェイスが1つしかない場合でも、source-interfaceコマンドが必要です。

関連情報

• Air Gapモードを使用した9800でのスマートライセンス
• シスコのテクニカルサポートとダウンロード

更新履歴

改定	発行日	コメント
15.0	05-Jun-2026	代替テキスト、「Cisco Smart Software Manager (SSM)」への参照を「Cisco License Central」に置き換えます。
14.0	04-Nov-2025	トラブルシューティングセクションのshowコマンドを修正
13.0	28-Jul-2025	工場出荷時設定へのリセット後にairgapライセンスに関する注意事項を追加
12.0	22-Jul-2025	DNSサーバ設定コマンドを追加
11.0	20-Aug-2024	1つの固定URL
10.0	01-Mar-2024	再認定
9.0	12-Jan-2023	認証済みプロキシのサポートに関する詳細を追加
8.0	15-Dec-2022	CSLUと17.7の詳細を追加
7.0	20-May-2022	debugコマンドの追加
6.0	26-Apr-2022	プロキシに関するセクションを追加
5.0	14-Jan-2022	オンプレミスバージョン要件の追加
4.0	12-Jan-2022	オンプレミスCSSMに関する注を追加
3.0	05-Oct-2021	オンプレミスSSMに関するコメントを追加
2.0	02-Sep-2021	書式の小さな変更
1.0	02-Sep-2021	初版