在运行版本17.12.1至17.12.4的Catalyst Center托管IOS-XE设备上,由于PKI证书续订失败而恢复遥测连接。

下载选项

  • PDF     (326.6 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2026 年 4 月 8 日
文档 ID:225713

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍遥测连接失败的原因以及如何恢复它们。 

  • 由于Cisco IOS XE设备操作系统上的Cisco bug ID CSCwk39268,Cisco IOS XE设备上的Cisco IOS XE证书(Cisco Catalyst Center - Cisco IOS® XE设备)的自动续订可能会失败,从而导致从受影响设备发送到Catalyst Center的遥测发生故障。
  • 证书的有效期为一年,通常由Catalyst Center在证书到期前60天自动续订。
  • 受此问题影响或可能受影响的客户可以在Catalyst Center中看到弹出消息。

受影响的版本:

  • 2.3.7.11之前的Catalyst Center版本管理运行版本17.12.1-17.12.4的Cisco IOS XE网络设

分辨率:

客户需要使用这个选项之一来解决问题。

选项 1:将Catalyst Center升级到2.3.7.112.3.7.9 PSMU602.3.7.10 PSMU110。 SMU(软件维护更新)可在Cisco Catalyst Center GUI的System > Software Management下升级。

选项2:将受影响的Cisco IOS XE设备升级到17.12.5或思科推荐的更高版本。

选项3:从Catalyst Center GUI强制推送遥感勘测,并将信任点的散列算法更新至设备上的sha512,如下所示:

  1. 导航到菜单>调配>库存
  2. 按主机名选择设备
  3. 选择操作>遥测>更新遥测设置
  4. 启用强制配置推送
  5. 继续完成向导并提交任务

识别受影响的Cisco IOS XE设备:

步骤 1:验证受影响的Cisco IOS XE设备上的设备证书和信任点状态。

device# show crypto pki certificates verbose sdn-network-infra-iwan

输出示例:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

注意:如果结束日期和续订日期早于设备的当前日期,则证书已过期。

步骤 2:检查设备上的错误日志。

输出示例:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

步骤 3:检查设备到Catalyst Center的遥测状态

输出示例:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

注意:在本示例中,遥测连接未启用,只是处于“连接”状态。

其它信息:

(a.)对于多个Cisco IOS XE设备,可以通过从Design > CLI Templates工具调配CLI模板从Catalyst Center推送此模板:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

(b.) 散列更新后强制遥测推送 

  1. 导航到菜单>调配>库存
  2. 按主机名选择设备
  3. 选择操作>遥测>更新遥测设置
  4. 启用强制配置推送
  5. 继续完成向导并提交任务

常见问题:安装SMU是否修复了已受影响的系统,或者它是预防性的?
SMU是预防性修复程序,必须在问题发生之前进行安装。如果问题已经发生,安装SMU不会自动清除问题。要恢复现有的故障系统,请选择选项3。

修订历史记录

版本 发布日期 备注
1.0
08-Apr-2026
初始版本
TAC Authored

由思科工程师提供

  • 穆希兰·纳塔拉詹
    首席工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品