2022年11月15日火曜日

CAPWAPが開通した
















無線LANコントローラとアクセスポイントがつながらなくて焦っていた。
ファームウェアは合わせているのにおかしい。

↓アクセスポイント側のエラーメッセージに「DTLS有効期限切れ」という単語が見えた。
DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:447 Certificate verified failed!

DTLSってCAPWAPを暗号化するプロトコルだっけか。
これはどうにかできる問題なのか?

とりあえず場当たり的な対処方法はあるらしい。

WLCに加入できないLightweight APのトラブルシューティング 
コントローラの時刻が、証明書の有効期間内ではない
https://www.cisco.com/c/ja_jp/support/docs/wireless/5500-series-wireless-controllers/119286-lap-notjoin-wlc-tshoot.html#anc13
-------------------------------------------------------------------------------
*Jun 28 09:21:25.011: DTLS_CLIENT_EVENT: dtls_process_Certificate: Processing...Peer certificate verification failed 001A
*Jun 28 09:21:25.031: DTLS_CLIENT_ERROR: ../capwap/base_capwap/capwap/base_capwap_wtp_dtls.c:509 Certificate verified failed!
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Bad certificate Alert
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_client_process_record: Error processing Certificate.
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_disconnect: Disconnecting DTLS connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_free_connection: Free Called... for Connection 0x8AE7FD0
*Jun 28 09:21:25.031: DTLS_CLIENT_EVENT: dtls_send_Alert: Sending FATAL : Close notify Alert
-------------------------------------------------------------------------------

まずはLAP側で「#show crypto ca certificates」コマンドを実行して暗号鍵証明書の有効期限を確かめる。
--------------------------------------------------------------------------------
AP00c1.649a.be5c#show crypto ca cert
............................................
............................................
.............................................
................................................
Certificate
Status: Available
Certificate Serial Number (hex): 7D1125A900000002A61A
Certificate Usage: General Purpose
Issuer:
cn=Cisco Manufacturing CA SHA2
o=Cisco
Subject:
Name: AP1G2-00c1649abe5c
e=support@cisco.com
cn=AP1G2-00c1649abe5c
o=Cisco Systems
l=San Jose
st=California
c=US
CRL Distribution Points:
http://www.cisco.com/security/pki/crl/cmca2.crl
Validity Date:
start date: 01:05:37 UTC Mar 24 2016
end date: 01:15:37 UTC Mar 24 2026
Associated Trustpoints: Cisco_IOS_M2_MIC_cert
Storage:
..................................
....................................
......................................
--------------------------------------------------------------------------------

startendの期間に注目する。
・WLC側で「#show time」コマンドを実行して現在の時間を確かめる
・LAP側の期間を過ぎていたら、WLC側の時間をこの期間内に合わせる。
・WLC側で「config time MM/DD/YY hh:mm:ss」コマンドを実行してLAPの暗号化期間内に時間を戻す。

上手くいくとLAPが再起動してWLCを認識してCAPWAPからJOINしてくれます。
かっこよくて感動しましたわ。

↓こちらの記事を参照して時刻を戻さなくてもつながる方法を試しましたが、できませんでした。
------------------------------------------------------------------------



















対処1.証明書期限チェック無効化
WLCコントローラのコンソール上で、次のコマンドを発行すると証明書の期限切れを無視するようになり、そのまま数分待つとLWAPがコントローラの管理下へ復帰します。

1 (Cisco Controller) >config ap cert-expiry-ignore mic enable
2 (Cisco Controller) >config ap cert-expiry-ignore ssc enable
3 (Cisco Controller) >config ap dtls-cipher-suite RSA-AES128-SHA
4 DTLS Cipher is already configured
5 (Cisco Controller) >config ap dtls-wlc-mic sha2
6 DTLS MIC is already configured

1 (Cisco Controller) >config ap cert-expiry-ignore mic enable
2 (Cisco Controller) >config ap cert-expiry-ignore ssc enable
3 (Cisco Controller) >config ap dtls-cipher-suite RSA-AES128-SHA
4 DTLS Cipher is already configured
5 (Cisco Controller) >config ap dtls-wlc-mic sha2
6 DTLS MIC is already configured

なお、コマンドを発行しても戻り値が無いので不安になりますが、もう一度発行するとこのように「それはすでに設定済み」と返されるので問題ありません。

1 (Cisco Controller) >config ap cert-expiry-ignore mic enable
2 Expire MIC Mode allow is already configured.
3 (Cisco Controller) >config ap cert-expiry-ignore ssc enable
4 Expire SSC Mode allow is already configured.
------------------------------------------------------------------------

またチャレンジしてみます。



投稿者 時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)