運行版本17.12.1至17.12.4的Catalyst中心管理的IOS-XE裝置上的PKI證書續訂失敗導致恢復遙測連線關閉。

下載選項

  • PDF     (336.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2026 年 4 月 8 日
文件 ID:225713

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文說明遙測連線失敗的原因以及如何恢復它們。 

  • 由於Cisco IOS XE裝置的作業系統上的Cisco錯誤ID CSCwk39268導致Cisco IOS XE裝置上的Cisco IOS XE證書(Cisco Catalyst Center - Cisco IOS® XE設備)的自動續訂失敗,從而導致從受影響裝置傳送到Catalyst Center的遙測發生故障。
  • 證書的有效期為一年,通常在Catalyst Center過期前60天自動續訂。
  • 受此問題影響或可能受影響的客戶可在Catalyst Center中看到彈出消息。

受影響的版本:

  • 2.3.7.11以前的Catalyst Center版本管理運行版本17.12.1-17.12.4的Cisco IOS XE網路設

解析度:

客戶需要使用這種選項之一來解決問題。

選項 1:將Catalyst Center升級到2.3.7.112.3.7.9 PSMU602.3.7.10 PSMU110。 SMU(軟體維護更新)可在Cisco Catalyst Center GUI中的System > Software Management下升級。

選項2:將受影響的Cisco IOS XE設備升級到17.12.5或更高思科建議版本中。

選項3:從Catalyst Center GUI強制推送遙測並將信任點的雜湊演算法更新為裝置上的sha512,如下所示:

  1. 定位至「選單」>「調配」>「庫存」
  2. 按主機名選擇裝置
  3. 選擇操作>遙測>更新遙測設定
  4. 啟用強制配置推送
  5. 繼續完成嚮導並提交任務

識別受影響的Cisco IOS XE裝置:

步驟 1:驗證受影響的Cisco IOS XE裝置上的設備證書和信任點狀態。

device# show crypto pki certificates verbose sdn-network-infra-iwan

輸出範例:

Certificate
  Status: Available
  Version: 3
  Certificate Serial Number (hex): 18831279321B12FA
  Certificate Usage: General Purpose
  Issuer: 
    cn=sdn-network-infra-ca
  Subject:
    Name: device.example.net
    cn=C9300-48U_SN12345678_sdn-network-infra-iwan
    hostname=device.example.net
  Validity Date: 
    start date: 11:39:55 cdt Jul 10 2025
    end   date: 11:39:55 cdt Jul 16 2025
    renew date: 06:51:54 cdt Jul 15 2025
  ...

附註:如果結束日期和續訂日期早於裝置的當前日期,則證書已過期。

步驟 2:檢查裝置上的錯誤日誌。

輸出範例:

Device# show logging
%PKI-2-CERT_RENEW_FAIL: Certificate renewal failed for trustpoint sdn-network-infra-iwan
Reason : Failed to get ID certificate from CA server sdn-network-infra-iwan:Certificate renewal failed.

步驟 3:檢查裝置到Catalyst Center的遙測狀態

輸出範例:

Device#show tel con all
Telemetry connections
Index Peer Address Port VRF Source Address State State Description
-----------------------------------------------------------------------------------------
36284 x.x.x.x 25103 0 x.x.x.x Connecting Connection request made to transport handler

附註:在此示例中,遙測連線未啟動,只是處於「連線」狀態。

Additional Information:

(a.)對於多個Cisco IOS XE設備,可通過從「設計」>「CLI模板工具」調配CLI模板從Catalyst Center推送此模板:

crypto pki trustpoint sdn-network-infra-iwan
no hash sha256
hash sha512

(b.) 雜湊更新後強制遙測推送 

  1. 定位至「選單」>「調配」>「庫存」
  2. 按主機名選擇裝置
  3. 選擇操作>遙測>更新遙測設定
  4. 啟用強制配置推送
  5. 繼續完成嚮導並提交任務

常見問題:安裝SMU是否修復了已受影響的系統,或者它是預防性的?
SMU是預防性修復程式,必須在問題發生之前安裝。如果問題已經發生,則安裝SMU不會自動清除問題。要恢復現有的故障系統,請選擇選項3。

修訂記錄

修訂 發佈日期 意見
1.0
08-Apr-2026
初始版本
TAC Authored

由思科工程師貢獻

  • 穆希蘭·納塔拉揚
    總工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品