Telemetrie-connectiviteit herstellen is mislukt als gevolg van PKI-certificaatvernieuwingsfouten op door Catalyst Center beheerde IOS-XE-apparaten waarop releases 17.12.1 tot en met 17.12.4 worden uitgevoerd.
Inhoud
Inleiding
Dit document beschrijft de redenen achter telemetrieverbindingen die falen en hoe ze te herstellen.
- Het automatisch vernieuwen van het dn-network-infra-iwancertificaat (Cisco Catalyst Center - Cisco IOS® XE-apparaat) kan mislukken op een Cisco IOS XE-apparaat als gevolg van een Cisco-bug ID CSCwk39268
op het besturingssysteem van het Cisco IOS XE-apparaat, waardoor telemetrie van getroffen apparaten naar Catalyst Center wordt verzonden. - Het certificaat is een jaar geldig en wordt normaal gesproken automatisch verlengd door Catalyst Center ongeveer 60 dagen voor de vervaldatum.
- Klanten die te maken hebben met dit probleem, of waarschijnlijk te maken krijgen met dit probleem, kunnen een pop-upbericht in Catalyst Center zien.
Geïmpacteerde releases:
- Catalyst Center brengt voorafgaand aan 2.3.7.11 het beheer van Cisco IOS XE-netwerkapparaten uit met versies 17.12.1-17.12.4
Resolutie:
Klanten moeten een van deze drie opties gebruiken om het probleem op te lossen.
Optie 1: Wanneer het apparaatcertificaat bijna is verlopen en nog niet is verlopen:
1. Toegangskatalysatorcentrum
Meld u aan bij Catalyst Center.
Navigeer in het hoofdmenu naar Ontwerp > CLI-sjablonen.
2. Een sjabloonproject maken
Klik op Toevoegen > Nieuw project.
Voer een projectnaam in, bijvoorbeeld: PKI_Trustpoint_Changes.
Klik op Continue (Doorgaan).
3. Een nieuwe CLI-sjabloon maken
Selecteer het nieuw gemaakte project.
Klik op Toevoegen > Nieuwe template.
Geef een naam voor de template op, bijvoorbeeld: Configure_sdn_network_infra_iwan_Trustpoint.
Stel het sjabloontype in op Reguliere sjabloon.
Stel het softwaretype in op Cisco IOS XE.
Selecteer de juiste apparaatfamilie of -reeks voor de beoogde Cisco IOS XE-apparaten.
Klik op Continue (Doorgaan).
4. De CLI-configuratie toevoegen
Voer in de sjablooneditor de volgende opdrachten in:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
5. De template vastleggen
Nadat u de sjabloon hebt opgeslagen, klikt u op Acties en selecteert u Vastleggen.
Voer een commit-bericht in, bijvoorbeeld: Update trustpoint hash naar sha512.
Bevestig de commit.
6. Het sjabloon aan een hulpmiddel verstrekken
Selecteer de sjabloon op de pagina Ontwerp > CLI-sjablonen.
Klik op Provisioning Templates.
Voer een taaknaam in, bijvoorbeeld: Trustpoint_Update_Device1.
Selecteer in de stap Apparaatselectie alleen het Cisco IOS XE-apparaat.
Klik op Volgende.
Controleer de toepasselijke toewijzing van de template.
Aangezien er geen sjabloonvariabelen worden gebruikt, gaat u verder met de volgende stap.
Controleer in het voorbeeldscherm of de opdrachten juist zijn.
Klik op Nu implementeren.
7. De implementatiestatus in het Catalyst Center bevestigen:
Ga naar Activiteiten > Taken.
Controleer of de implementatie met succes is voltooid.
Als de implementatie is mislukt, controleert u de taakdetails en foutuitvoer voordat u het opnieuw probeert.
8. Herhaal dit voor extra hulpmiddelen
Herhaal dit implementatieproces voor elk Cisco IOS XE-apparaat afzonderlijk.
Gebruik een afzonderlijke taaknaam voor elk apparaat om het bijhouden en oplossen van problemen te vereenvoudigen.
9. Controleer de configuratie op het apparaat
Nadat de implementatie is voltooid, maakt u verbinding met de CLI van het apparaat en voert u het volgende uit:
show run | sec crypto pki trustpoint sdn-network-infra-iwan
Bevestig dat de actieve configuratie de volgende regels bevat:
crypto pki trustpoint sdn-network-infra-iwan
hash sha512
Optie 2: Upgrade Catalyst Center naar 2.3.7.11, 2.3.7.9 PSMU80 of 2.3.7.10 PSMU140.
De SMU (Software Maintenance Update) is beschikbaar onder System > Software Management in de Catalyst Center GUI. Als u de SMU niet kunt zien, opent u een serviceaanvraag voor TAC en geeft u uw gebruikersnaam op.
Optie 3: Upgrade het uitgevoerde Cisco IOS XE-apparaat naar 17.12.5 of hoger van een door Cisco aanbevolen release.
Het getroffen Cisco IOS XE-apparaat identificeren:
Stap 1: Valideer het apparaatcertificaat en de status van het trustpoint op het getroffen Cisco IOS XE-apparaat.
device# show crypto pki certificates verbose sdn-network-infra-iwan
Voorbeelduitvoer:
Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 18831279321B12FA
Certificate Usage: General Purpose
Issuer:
cn=sdn-network-infra-ca
Subject:
Name: device.example.net
cn=C9300-48U_SN12345678_sdn-network-infra-iwan
hostname=device.example.net
Validity Date:
start date: 11:39:55 cdt Jul 10 2025
end date: 11:39:55 cdt Jul 16 2025
renew date: 06:51:54 cdt Jul 15 2025
...
Opmerking: Als de einddatum en verlengingsdatum vóór de huidige datum op het apparaat liggen, is het certificaat verlopen.
Stap 2: Controleer het foutenlogboek op het apparaat.
Voorbeelduitvoer:
Device# show logging %PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.
Stap 3: Controleer de telemetriestatus van het apparaat in Catalyst Center
Voorbeelduitvoer:
Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler
Opmerking: in dit voorbeeld is de telemetrieverbinding niet actief, alleen in de status Verbinden.
Aanvullende informatie:
Voer de volgende twee stappen uit als het apparaatcertificaat al is verlopen en het apparaat zich in een gedegradeerde toestand bevindt:
Stap 1: Forceer push-telemetrie vanuit de Catalyst Center GUI
- Navigeer naar Menu > Voorzieningen > Voorraad
- Selecteer de apparaten op hostnaam
- Selecteer Acties > Telemetrie > Telemetrie-instellingen bijwerken
- Configuratie-push forceren inschakelen
- Ga door de wizard en dien de taak in
Stap 2: Update het hash-algoritme voor de trustpoint tosha512 op het apparaat:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
FAQ:
Bevestigt de installatie van de SMU een reeds getroffen systeem of is het preventief?
De SMU is een preventieve oplossing en moet worden geïnstalleerd voordat het probleem zich voordoet. Als het probleem zich al heeft voorgedaan, wordt het probleem niet automatisch opgelost door de SMU te installeren. Als u bestaande defecte systemen wilt herstellen, raadpleegt u het gedeelte Aanvullende informatie.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
28-Apr-2026
|
Eerste vrijgave |
1.0 |
08-Apr-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)