運行版本17.12.1至17.12.4的Catalyst中心管理的IOS-XE裝置上的PKI證書續訂失敗導致恢復遙測連線關閉。
簡介
本文說明遙測連線失敗的原因以及如何恢復它們。
- 由於Cisco錯誤,thsdn-network-infra-iwancertificate(Cisco Catalyst Center - Cisco IOS® XE裝置)的自動續訂在Cisco IOS XE裝置上可能會失敗 ID CSCwk39268
在Cisco IOS XE設備作業系統上,導致從受影響裝置傳送到Catalyst Center的遙測發生故障。 - 證書的有效期為一年,通常在Catalyst Center過期前60天自動續訂。
- 受此問題影響或可能受影響的客戶可在Catalyst Center中看到彈出消息。
受影響的版本:
- 2.3.7.11以前的Catalyst Center版本管理運行版本17.12.1-17.12.4的Cisco IOS XE網路設備
解析度:
客戶需要使用這三種選項之一來解決問題。
選項1:當裝置證書即將到期但尚未到期時:
1. Access Catalyst Center
登入Catalyst Center。
從主選單中,導航到設計> CLI模板。
2. 建立模板專案
按一下Add > New Project。
輸入專案名稱,例如PKI_Trustpoint_Changes。
按一下「Continue」(繼續)。
3. 建立新的CLI模板
選擇新建立的專案。
按一下Add > New Template。
輸入模板名稱,例如Configure_sdn_network_infra_iwan_Trustpoint。
將模板型別設定為常規模板。
將Software Type(軟體型別)設定為Cisco IOS XE。
為預期的Cisco IOS XE裝置選擇適當的裝置系列或系列。
按一下「Continue」(繼續)。
4. 新增CLI配置
在模板編輯器中,輸入以下命令:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
5. 提交模板
儲存模板後,單擊Actionand selectCommit。
輸入提交消息,例如:將信任點雜湊更新到sha512。
確認提交。
6. 將模板調配到裝置
在Design > CLI Templates頁面上,選擇模板。
按一下調配模板。
輸入任務名稱,例如:Trustpoint_Update_Device1。
在裝置選擇步驟中,僅選擇Cisco IOS XE裝置。
按一下「下一步」。
檢視適用的模板分配。
由於不使用模板變數,請繼續執行下一步。
在「預覽」螢幕上,驗證命令是否正確。
按一下立即部署。
7. 確認Catalyst Center中的部署狀態:
導覽至Activities > Tasks。
驗證部署是否成功完成。
如果部署失敗,請在重試之前檢視任務詳細資訊和錯誤輸出。
8. 對其他裝置重複
分別針對每個Cisco IOS XE裝置重複此部署過程。
為每個裝置使用單獨的任務名稱,以簡化跟蹤和故障排除。
9. 驗證裝置上的配置
部署完成後,連線到裝置的CLI並運行:
show run | sec crypto pki trustpoint sdn-network-infra-iwan
確認運行配置包括以下行:
crypto pki trustpoint sdn-network-infra-iwan
hash sha512
選項2:將Catalyst Center升級到2.3.7.11、2.3.7.9 PSMU80或2.3.7.10 PSMU140。
Catalyst Center GUI中System > Software Management下提供SMU(軟體維護更新)。如果您無法看到SMU,請開啟TAC服務請求並提供您的成員ID。
選項3:將受影響的Cisco IOS XEdevice升級到Cisco建議版本17.12.5或更高版本。
識別受影響的Cisco IOS XE裝置:
步驟 1: 驗證受影響的Cisco IOS XE裝置上的裝置證書和信任點狀態。
device# show crypto pki certificates verbose sdn-network-infra-iwan
輸出範例:
Certificate
Status: Available
Version: 3
Certificate Serial Number (hex): 18831279321B12FA
Certificate Usage: General Purpose
Issuer:
cn=sdn-network-infra-ca
Subject:
Name: device.example.net
cn=C9300-48U_SN12345678_sdn-network-infra-iwan
hostname=device.example.net
Validity Date:
start date: 11:39:55 cdt Jul 10 2025
end date: 11:39:55 cdt Jul 16 2025
renew date: 06:51:54 cdt Jul 15 2025
...
附註:如果結束日期和續訂日期早於裝置的當前日期,則證書已過期。
步驟 2:檢查裝置上的錯誤日誌。
輸出範例:
Device# show logging %PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.
步驟 3:檢查Catalyst Center中裝置的遙測狀態
輸出範例:
Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler
附註:在此示例中,遙測連線未啟動,只是處於「連線」狀態。
Additional Information:
當裝置證書已過期且裝置處於降級狀態時,請執行以下兩個步驟:
步驟 1: 從Catalyst Center GUI強制推送遙測
- 導航至「選單」>「調配」>「庫存」
- 按主機名選擇裝置
- 選擇操作>遙測>更新遙測設定
- 啟用強制配置推送
- 繼續完成嚮導並提交任務
步驟 2: 更新裝置上的信任點tosha512的雜湊演算法:
crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512
常見問題:
安裝SMU是否修復了已受影響的系統,或者它是預防性的?
SMU是預防性修復程式,必須在問題發生之前安裝。如果問題已經發生,則安裝SMU不會自動清除問題。要恢復現有的故障系統,請檢視「Additional Information(其它資訊)」部分。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
28-Apr-2026
|
初始版本 |
1.0 |
08-Apr-2026
|
初始版本 |
意見