Restaurar a conectividade da telemetria inoperante devido a falhas de renovação de certificado PKI em dispositivos IOS-XE gerenciados pelo Catalyst Center executando versões 17.12.1 a 17.12.4.
Contents
Introdução
Este documento descreve os motivos por trás da falha das conexões de telemetria e como restaurá-las.
- A renovação automática do certificado dn-network-infra-iwan(Cisco Catalyst Center - dispositivo Cisco IOS® XE) pode falhar em um dispositivo Cisco IOS XE devido a um bug da Cisco ID CSCwk39268
no sistema operacional do Cisco IOS XE, fazendo com que a telemetria enviada dos dispositivos afetados para o Catalyst Center seja desativada. - O certificado é válido por um ano e normalmente é renovado automaticamente pelo Catalyst Center cerca de 60 dias antes de seu vencimento.
- Os clientes afetados por esse problema, ou que possam ser afetados, podem ver uma mensagem pop-up no Catalyst Center.
Versões afetadas:
- Catalyst Center versões anteriores a 2.3.7.11 gerenciando dispositivos de rede Cisco IOS XE executando versões 17.12.1-17.12.4
Resolução:
Os clientes devem usar qualquer uma dessas três opções para resolver o problema.
Opção 1: Quando o certificado do dispositivo estiver próximo da expiração e ainda não tiver expirado:
1. Acesse o Catalyst Center
Faça login no Catalyst Center.
No menu principal, navegue para Design > Modelos CLI.
2. Criar um projeto de modelo
Clique em Adicionar > Novo projeto.
Insira um nome de projeto, por exemplo: PKI_Trustpoint_Changes.
Clique em Continuar.
3. Criar um novo modelo CLI
Selecione o projeto recém-criado.
Clique em Add > New Template.
Insira um nome de modelo, por exemplo: Configure_sdn_network_infra_iwan_Trustpoint.
Defina Tipo de modelo como Modelo regular.
Defina o tipo de software como Cisco IOS XE.
Selecione a família ou a série de dispositivos apropriada para os dispositivos Cisco IOS XE pretendidos.
Clique em Continuar.
4. Adicionar a configuração CLI
No Editor de modelos, insira estes comandos:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
5. Confirmar o modelo
Depois de salvar o modelo, clique emAcçõese selecioneConfirmar.
Digite uma mensagem de confirmação, por exemplo:Atualizar hash de ponto confiável para sha512.
Confirme a confirmação.
6. Provisionar o modelo para um dispositivo
Na página Design > Modelos CLI, selecione o modelo.
Clique em Provisionar Modelos.
Insira um nome de tarefa, por exemplo:Trustpoint_Update_Device1.
Na etapa de seleção de dispositivo, selecione somente um dispositivo Cisco IOS XE.
Clique em Avançar.
Revise a atribuição de modelo aplicável.
Como nenhuma variável de modelo é usada, vá para a próxima etapa.
Na tela Visualizar, verifique se os comandos estão corretos.
Clique emImplantar agora.
7. Confirmar Status de Implantação no Catalyst Center:
Navegue atéAtividades > Tarefas.
Verifique se a implantação foi concluída com êxito.
Se a implantação falhou, revise os detalhes da tarefa e a saída do erro antes de tentar novamente.
8. Repita o procedimento para dispositivos adicionais
Repita esse processo de implantação para cada dispositivo Cisco IOS XE individualmente.
Use um nome de tarefa separado para cada dispositivo para simplificar o rastreamento e a solução de problemas.
9. Verifique a configuração no dispositivo
Após a conclusão da implantação, conecte-se à CLI do dispositivo e execute:
show run | sec crypto pki trustpoint sdn-network-infra-iwan
Confirme se a configuração atual inclui estas linhas:
crypto pki trustpoint sdn-network-infra-iwan
hash sha512
Opção 2: Atualize o Catalyst Center para 2.3.7.11,2.3.7.9 PSMU80, ou2.3.7.10 PSMU140.
O SMU (Software Maintenance Update) está disponível em System > Software Management na GUI do Catalyst Center. Se você não conseguir ver o SMU, abra uma solicitação de serviço do TAC e forneça sua ID de membro.
Opção 3: Atualize o dispositivo XE Cisco IOS afetado para 17.12.5 ou posterior de uma versão recomendada da Cisco.
Identificando o dispositivo Cisco IOS XE afetado:
Passo 1: Valide o certificado do dispositivo e o status do ponto de confiança no dispositivo Cisco IOS XE afetado.
device# show crypto pki certificates verbose sdn-network-infra-iwan
Saída de exemplo:
Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 18831279321B12FA
Certificate Usage: General Purpose
Issuer:
cn=sdn-network-infra-ca
Subject:
Name: device.example.net
cn=C9300-48U_SN12345678_sdn-network-infra-iwan
hostname=device.example.net
Validity Date:
start date: 11:39:55 cdt Jul 10 2025
end date: 11:39:55 cdt Jul 16 2025
renew date: 06:51:54 cdt Jul 15 2025
...
Note: Se a data de término e a data de renovação forem anteriores à data atual no dispositivo, o certificado expirou.
Passo 2: Verifique o log de erros no dispositivo.
Saída de exemplo:
Device# show logging %PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.
Passo 3: Verifique o status de telemetria do dispositivo no Catalyst Center
Saída de exemplo:
Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler
Note: Neste exemplo, a conexão de telemetria não está ativa, apenas no estado Conectando.
Informações adicionais:
Quando o certificado do dispositivo já tiver expirado e o dispositivo estiver em um estado degradado, execute estas duas etapas:
Passo 1: Forçar envio de telemetria a partir da GUI do Catalyst Center
- Navegue atéMenu > Provisionar > Inventário
- Selecione os dispositivos por nome de host
- Selecione Ações > Telemetria > Atualizar configurações de telemetria
- Habilitar push de configuração forçada
- Prosseguir com o assistente e enviar a tarefa
Passo 2: Atualize o algoritmo de hash para o ponto de confiança tosha512 no dispositivo:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
FAQ:
A instalação do SMU corrige um sistema já afetado ou é preventiva?
O SMU é uma correção preventiva e deve ser instalado antes que o problema ocorra. Se o problema já tiver ocorrido, a instalação do SMU não limpará automaticamente o problema. Para recuperar sistemas com falha existentes, reveja a seção de informações adicionais.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
28-Apr-2026
|
Versão inicial |
1.0 |
08-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)