IOS AP-afbeelding downloaden mislukt vanwege verlopen afbeeldingsondertekeningscertificaat Post 4 december 2022 (CSCwd80290)

Downloadopties

  • PDF     (279.0 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (96.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (87.6 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 maart 2023
Document-id:218447

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding


    Dit document bevat details over verbindingsfouten bij IOS-toegangspunten (AP's), die na 4 december 2022 zijn waargenomen bij zowel AireOS- als C9800 Wireless LAN Controllers (WLC's). Dit probleem wordt gevolgd door Cisco-bug CSCwd80290 en de Field Notice FN72524 en wordt veroorzaakt door een fout in de validatie van het certificaat voor het ondertekenen van het AP-image.

    Betrokken producten

    Dit probleem is van invloed op alle lichtgewicht toegangspunten waarop IOS wordt uitgevoerd: 802.11ac Wave 1 AP's (IW3702/3700/2700/1700/1570-reeks) en eerdere AP's, waaronder 700/1530/1550/3600/2600/1600/3500/AP802/AP803-reeks. De betreffende lichtgewicht IOS-images zijn gebouwd van december 2012 tot november 2022. De controllers AireOS, Catalyst 9800 en Converged Access worden beïnvloed.  AP's waarop AP-COS (802.11ac Wave 2, Wi-Fi 6, Wi-Fi 6E AP's) wordt uitgevoerd, worden niet beïnvloed en IOS AP's bevinden zich niet in de autonome modus.

    Probleem

    Wanneer IOS-toegangspunten na 4 december 2022 via CAPWAP worden bijgewerkt of gedowngraded, kunnen ze vastlopen in een downloadlus voor afbeeldingen en daardoor niet deelnemen aan de WLC, omdat het ondertekeningscertificaat in het gedownloade image niet is gevalideerd.

    Hoofdoorzaak

    De certificaten voor het ondertekenen van afbeeldingen die in de AP IOS-afbeeldingen zijn gebundeld, zijn uitgegeven op 4 december 2012 en zijn verlopen op 4 december 2022. IOS-toegangspunten gebruiken dit certificaat om de image te valideren die van de WLC is gedownload voordat de software op het toegangspunt wordt geïnstalleerd. Dus, na 4 december 2022, wanneer een toegangspunt code downloadt vanwege een software-upgrade / -downgrade of vanwege het verplaatsen tussen WLC's met verschillende versies, zal het toegangspunt het image niet valideren en voor onbepaalde tijd in een downloadafbeeldingslus blijven. Het probleem wordt gezien voor alle AireOS- en IOS-XE-versies.

    Symptomen

    Om te controleren of u dit probleem ondervindt, controleert u eerst de WLC voor toegangspunten die vastzitten in de status Downloaden.  Vervolgens kunt u het probleem positief identificeren door ssh, telnet of console in de betreffende toegangspunten te plaatsen en hun logs te bekijken (of te zoeken naar toegangspunten op uw syslog-server).

    Op een AireOS WLC 

    Op de WLC wordt de imagestatus van het toegangspunt weergeven (AireOS 8.10) de betreffende toegangspunten in de status "Downloaden".

    In 8.5 gebruikt u afbeelding van toegangspunt tonen, die een niet-nul aantal toegangspunten in "Downloaden" toont.

    (AireOS WLC-8.5) >show ap image all

Total number of APs.............................. 1
Number of APs
        Initiated....................................... 0
        Downloading..................................... 1
        Predownloading.................................. 0
        Completed predownloading........................ 0
        Not Supported................................... 0
        Failed to Predownload........................... 0

                                                 Predownload     Predownload                                  Flexconnect
AP Name            Primary Image  Backup Image   Status          Version        Next Retry Time  Retry Count  Predownload
------------------ -------------- -------------- --------------- -------------- ---------------- ------------ --------------
AP1700             8.5.182.0      0.0.0.0        None            None           NA               NA

(AireOS WLC-8.10) >show ap image status 
Total number of APs.............................. X
Total AP's Downloading........................... 1
AP Name            Primary Image  Download Status
------------------ -------------- ----------------
CAP3702E.4CD4      17.3.6.76      Downloading

    Op een IOS-XE C9800 WLC

    C9800#overzicht toegangspunt tonen

    9800-L#show ap summary

AP Name                            Slots    AP Model  Ethernet MAC    Radio MAC       Location                          Country     IP Address                                 State
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------                   
AP2702E                              2      2702E     0081.c4fb.2e74  843d.c673.10d0  default location                              192.168.202.105                            Downloading

    De logboeken van het toegangspunt geven fouten weer die vergelijkbaar zijn met de volgende fouten wanneer u dit probleem tegenkomt:

    Op een SHA-1 AP (vervaardigd vóór medio 2014):

    *Dec 6 21:35:24.259: Using SHA-1 signed certificate for image signing validation.
*Dec 6 21:35:24.327: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:37:36 UTC Dec 4 2022
*Dec 6 21:35:24.327: Image signing certificate validation failed (1A).
*Dec 6 21:35:24.327: Failed to validate signature
*Dec 6 21:35:24.327: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ9/final_hash)
*Dec 6 21:35:24.327: AP image integrity check FAILED

    Op een SHA-2 AP (vervaardigd na medio 2014):

    *Dec 6 08:47:20.159: Using SHA-2 signed certificate for image signing validation. 
*Dec 6 08:47:20.223: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_record.c:169 Pkt too old last_seq_num : 11116,Received sequence num: 1 distance: -11115
*Dec 6 08:47:20.227: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022 
*Dec 6 08:47:20.227: Image signing certificate validation failed (1A).
*Dec 6 08:47:20.231: Failed to validate signature 
*Dec 6 08:47:20.231: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ7c/final_hash)
*Dec 6 08:47:20.231: AP image integrity check FAILED

    Tijdelijke oplossing

    Als u geen vaste software gebruikt, volgt u deze stappen om de IOS-toegangspunten toe te laten.

    1. Schakel NTP uit om te voorkomen dat de controller automatisch de tijd vooruit zet.
    AireOS:
(AireOS WLC)>show time

make a note of all configured NTP servers, and delete each one:

(AireOS WLC)>config time ntp delete 

IOS-XE:
C9800#show run | i ntp 
ntp server ip 
C9800#config terminal  
(config)#no ntp server ip  ! for each configured NTP server

    2. Verander de datum op de WLC in iets vóór 4 december 2022, maar niet vóór 1 november 2022, omdat dit het certificaat in de controller of in nieuwere AP's ongeldig kan maken. 

    (AireOS WLC)> config time manual 12/02/22 00:00:00

C9800#clock set 00:00:00 2 Dec 2022

    3. Controleer of de tijd op de WLC is gewijzigd

    (AireOS WLC)> show time
Time............................................. Fri Dec  2 00:00:02 2022

C9800#show clock
00:00:02.573  Fri Dec 2 2022

    4. Wacht totdat alle toegangspunten in de geregistreerde staat met de nieuwe afbeelding zijn weergegeven. 

    Opmerking: in sommige gevallen kan het nodig zijn het toegangspunt na de datumwijziging opnieuw op te starten om lid te worden van het toegangspunt. Maar zorg ervoor dat u ten minste 30 minuten wacht voordat AP weer kan deelnemen voordat u AP's opnieuw start

    5. NTP opnieuw inschakelen

    (AireOS WLC)>config time ntp server 1 

C9800#configure terminal
(config)#ntp server ip

    6. De configuratie opslaan

    (AireOS WLC)>save config
Are you sure you want to save? (y/n) y

C9800#write memory

    7. Klok opnieuw controleren op de WLC

    (AireOS WLC)>show time
C9800# show clock

    Upgraden naar vaste software

    Op een AireOS WLC

    1. Als er AP's vastzitten in het downloaden, stelt u de controllertijd in zodat AP's het downloaden kunnen voltooien en in geregistreerde staat kunnen verschijnen voordat ze naar de software upgraden.
      1. Zie het gedeelte met de tijdelijke oplossing hierboven voor meer informatie over het instellen van de tijd terug

      2. Als u om operationele redenen de tijd niet kunt terugzetten, blokkeert u de getroffen IOS-toegangspunten om te proberen lid te worden van de controller, bijvoorbeeld door hun switchpoorten af te sluiten of een ACL te installeren om CAPWAP te blokkeren.

    2. Nu er geen toegangspunten in de status Downloaden zijn, moet u ervoor zorgen dat de tijd van de WLC is ingesteld op de huidige tijd (NTP opnieuw inschakelen).
    3. Installeer de vaste software op de AireOS WLC (8.10.183.0 of hoger; of, als u niet kunt upgraden van 8.5, gebruik 8.5.182.7, als u 8.5 mainline of 8.5.182.105 gebruikt voor 8.5 IRCM.). Raadpleeg de onderstaande links om de vaste software te downloaden.
      • 8.10

         8540: https://software.cisco.com/download/home/286284728/type/280926587/release/8.10.183.0

         5520: https://software.cisco.com/download/home/286284738/type/280926587/release/8.10.183.0

         3504: https://software.cisco.com/download/home/286312601/type/280926587/release/8.10.183.0

         vWLC: https://software.cisco.com/download/home/284464214/type/280926587/release/8.10.183.0

      • 8.5 (Verborgen berichten)

         8.5.182.7 (hoofdlijn 8.5): https://software.cisco.com/download/specialrelease/8f166c6d88b9f77aabb63f78affa9749

         8.5.182.105 (8.5 IRCM): https://software.cisco.com/download/specialrelease/bc334964055fbd9440834f008e5aca34

    4. (Optioneel) Voordat u opnieuw opstart, downloadt u de vaste software vooraf naar de aangesloten toegangspunten.
    5. Start de WLC opnieuw op.
    6. Als u de AP-switchpoorten uitschakelt of CAPWAP blokkeert, verwijdert u de blokken zodat de IOS-toegangspunten opnieuw kunnen deelnemen en kunnen upgraden. 

    Op een IOS-XE 9800 WLC

    1. Download de 17.3.6, 17.6.4, 17.9.2 IOS-XE software naar 9800 flash. Raadpleeg de aanbevolen IOS-XE-versies voor C9800 WLC's om de versie te kiezen die het meest geschikt is voor uw omgeving op basis van AP-modellen in uw omgeving en functies in gebruik. 

    2. Download het 17.3.6 APSP7- of 17.6.4 APSP1- of 17.9.2 APSP1-bestand (met IOS AP-fix) naar 9800-flitser.

    • 17.3.6: 17.3.6 APSP7 via CSCwd83653/CSCwe10047 (fix ook inbegrepen in APSP2 en APSP5)

        9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.3.6

        9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.3.6

        9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.3.6

        9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.3.6

    • 17.6.4: 17.6.4 APSP1 (voor IW3702) via CSCwd87305

        9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.6.4

        9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.6.4

        9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.6.4

        9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.6.4

    • 17.9.2:17.9.2 APSP1 (voor IW3702) via CSCwd87612

        9800-40: https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2

        9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.9.2

        9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.9.2

        9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.9.2

    Opmerking: 
    1) 17.3.6 APSP7 bevat oplossingen voor meerdere bugs (CSCvx32806, CSCwc32182, CSCvz99036, CSCwd37092, CSCwc78435, CSCwc88148) naast CSCwd80290
    2) 17.6.4 APSP1 bevat oplossingen voor meerdere bugs (CSCwc73090, CSCwc71198, CSCwc78435, CSCwd40731, CSCvx32806) naast CSCwd80290 (voor IW3700).

    3. Installeer 17.3.6 IOS-XE nu en laad opnieuw, tenzij 17.3.6 al is geïnstalleerd.

    C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.SPA.bin activate commit

    4. Na de 9800 reboots - als de controllertijd was teruggezet in de tijd, stelt u nu de tijd in op de huidige (NTP opnieuw inschakelen).

    5 Installeer APSP7 om de IOS-toegangspunten te herstellen:

    C9800#install add file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install activate file bootflash:/C9800-universalk9_wlc.17.03.06.CSCwe10047 .SPA.apsp.bin
C9800#install commit

    Veelgestelde vragen (FAQ)

    • Wordt de verbinding met mijn huidige geregistreerde toegangspunten verbroken of wordt de verbinding niet verbroken vanwege dit probleem?
      AP's met dezelfde versie als de WLC blijven probleemloos werken en worden normaal opgestart en aangesloten. Dit probleem is alleen van invloed op het proces voor de validatie van images dat wordt uitgevoerd als onderdeel van een upgrade van het image.
    • Heeft predownload van AP gevolgen?

       Ja. Aangezien de predownload van het toegangspunt het downloaden van een image naar het toegangspunt en de validering van het image door het toegangspunt inhoudt, worden dezelfde verlopen certificaat- en imagevalideringsfout aangetroffen.

    • Welke impact heeft de verandering van tijd? Kan een klant dit 's middags doen, of moeten ze een onderhoudsvenster plannen met enige downtime en impact op services?
      Het wijzigen van de controllertijd heeft geen operationele invloed op AP-verbindingen en draadloze clientconnectiviteit. DNA Center Assurance, CMX en Cisco (DNA) Spaces kunnen echter worden beïnvloed. Zodra AP's zijn aangesloten en de tijd is teruggezet naar de huidige tijd, zullen deze services naar verwachting herstellen.
    • Wat als ik de tijd niet kan terugzetten op mijn productiecontroller?
      Het opzetten van een enscenering WLC (vWLC of 9800-CL werkt ook) met dezelfde codeversie als de productie WLC. Keer de tijd terug op de WLC en voeg AP's toe aan de WLC. Zodra de AP's code hebben gedownload en naar de status Geregistreerd zijn gegaan op de WLC, verplaatst u de AP's naar de productie-WLC.
    • Moet ik de tijd wijzigen om de vaste versie te installeren?

       Alleen met AirOS, als de toegangspunten vastzitten in de downloadstatus. Raadpleeg het gedeelte Upgraden naar vaste software voor meer informatie.

    • Wat gebeurt er als ik een nieuwe AP toevoeg?
      Als het nieuwe toegangspunt op dezelfde versie als de controller is geïnstalleerd, moet het toegangspunt zonder problemen worden aangesloten.
      Aan de andere kant, als de versie niet overeenkomt, zal het toegangspunt proberen de bijbehorende afbeelding te downloaden. Als de code op de controller niet beschikt over de vaste AP-gebundelde images, zal het toegangspunt de upgrade zoals beschreven niet uitvoeren en is een tijdelijke oplossing nodig.
      Als de controller is bijgewerkt naar een van de vaste versies, kunnen nieuwe toegangspunten normaal worden toegevoegd en het upgradeproces worden voltooid.
    • Wat gebeurt er met de eenheden die van RMA worden ontvangen?
      Dit komt overeen met het toevoegen van een nieuw toegangspunt: als u een controllerversie uitvoert met de oplossing voor het image van het toegangspunt, zullen ze zich aansluiten en normaal upgraden.
      Pas anders de tijdelijke oplossing toe.
    • Moet ik de tijd voor de operatie aanpassen?
      Nee, zodra de toegangspunten het upgradeproces hebben voltooid, kunt u de controller weer instellen op de huidige tijd en NTP opnieuw inschakelen.
    • Ik zie deze fout in het AP-log %PKI-3-CERTIFICATE_INVALID_NOT_YET_VALID: Certificaatketenvalidatie is mislukt. Het certificaat (SN: xx) is nog niet geldig Geldigheidsduur begint op HH: MM: SS UTC Mar 1 2022". Is dit hetzelfde symptoom of nieuw symptoom?

       Deze fout geeft aan dat de klok op de WLC is ingesteld achter 1 maart 2022, wat de startdatum is van het certificaat (in dit geval). Deze datum is afhankelijk van het moment waarop de WLC is gemaakt of het moment waarop het zelfondertekende certificaat op de virtuele WLC is gegenereerd.

        Wijzig de klok op de WLC om het certificaat geldig te maken. 

    • Wat doet Cisco om te voorkomen dat dit probleem zich opnieuw voordoet?
      We voltooien een volledige audit van alle Enterprise-producten om een vergelijkbaar probleem te identificeren dat mogelijk niet is gedetecteerd en corrigerende maatregelen uit te voeren
      Bovendien zijn er wijzigingen aangebracht in het IOS AP-beeldbundelproces om dit probleem te verhelpen.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    7.0
    16-Mar-2023
    Gecombineerde upgradestappen en sectie Vaste software. Gecorrigeerde APSP7-installatiestappen
    6.0
    01-Feb-2023
    APSP7 voor 17.3.6 vervangt eerdere APSP's.
    4.0
    20-Dec-2022
    Toegevoegd 85MR.8Esc, 85IRCM en 17.6.4APSP1 links
    3.0
    16-Dec-2022
    Extra upgradeprocedure voor IOS-XE 17.3.6 SP5.
    2.0
    14-Dec-2022
    Herformuleerde syntaxis, herziene veelgestelde vragen.
    1.0
    07-Dec-2022
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten