Certificado expirado en Access Point

Durante el mes de diciembre, específicamente el 4 de diciembre del 2022, se detectó un problema de certificado expirado en Access Point.

¿Cuáles son los síntomas detectados?

• Los Access Point se quedaban en un estado de downloading.
• Se detecta un log de Certificado expirado en Access Point.

Logs detectados en Access Points

*Dec 28 00:20:48.851: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed.  The certificate (SN: 4E78A210000000000007) has expired.    Validity period ended on 21:43:46 UTC Dec 4 2022
*Dec 28 00:20:48.851: Image signing certificate validation failed (1A).
*Dec 28 00:20:48.851: Failed to validate signature
*Dec 28 00:20:48.851: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.ap_umr8_esc.202110262311/final_hash)
*Dec 28 00:20:48.851: AP image integrity check FAILED Aborting Image Download

Este evento en los Access Point esta relacionado a un BUG el cual afecta a diferentes modelos y versión de IOs de las WLC.

Problema

Cuando los puntos de acceso de IOS se actualizan o degradan a través de CAPWAP, después del 4 de diciembre de 2022, es posible que se queden atascados en un ciclo de descarga de imágenes y, por lo tanto, no puedan unirse al WLC debido a que no se pudo validar el certificado de firma en la imagen descargada.

En nuestro caso, este evento lo detectamos cada vez que se presentaba alguna perdida de comunicación de los Access Points con la WLC o cuando se requiere instalar un AP nuevo de los modelos afectados por el BUG, las WLC no permitían el registro de un Access Point.

Productos Afectados

Este problema afecta a todos los Access Points lightweight que ejecutan IOS; estos incluyen: AP 802.11ac Wave 1 (serie IW3702/3700/2700/1700/1570). AP anteriores, incluidos las series 700/1530/1550/3600/2600/1600/3500/AP802/AP803. Las imágenes lightweight de IOS afectadas se crearon desde diciembre de 2012 hasta noviembre de 2022.

Workaround al certificado expirado en Access Point

En la documentación, Cisco documenta dos workaround para validar la posible solución a la falla.

• Deshabilitar el servicio de NTP en la WLC. (Puedes ver nuestro articulo Configurar NTP).
• Cambiar la fecha en la WLC. (Puedes ver nuestro articulo Configurar Timezone).

En nuestro caso, el workaround que documenta Cisco no soluciono el problema de raíz, pero solucionaba el problema de que los Access Points no se registraban a la WLC, aunque la solución era mover a una fecha antes del 4 de diciembre.

La solución definitiva se aplica mediante una actualización de IOS a la Wireless LAN Controller, la versión recomendada varía según el modelo, en 4 Wireless LAN Controllers donde en nuestro caso aplicamos el upgrade, el problema fue solucionado.

BUG relacionado a esta falla CSCwd80290

Sobre una WLC con AireOS puedes validar el estatus de downloading con el comando “show ap image status”.

(AireOS WLC) >show ap image all

Total number of APs.............................. 1
Number of APs
        Initiated....................................... 0
        Downloading..................................... 1
        Predownloading.................................. 0
        Completed predownloading........................ 0
        Not Supported................................... 0
        Failed to Predownload........................... 0
                                                 Predownload     Predownload                                  Flexconnect
AP Name            Primary Image  Backup Image   Status          Version        Next Retry Time  Retry Count  Predownload
------------------ -------------- -------------- --------------- -------------- ---------------- ------------ --------------
AP3700             8.5.182.0      0.0.0.0        None            None           NA               NA

En una Wireless LAN Controller C9800

9800-L#show ap summary

AP Name                            Slots    AP Model  Ethernet MAC    Radio MAC       Location                          Country     IP Address                                 State
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------                   
AP2702E                              2      2702E     0081.c4fb.2e74  843d.c673.10d0  default location                              192.168.202.105                            Downloading

Puedes consultar la paginas de CISCO relacionados a este problema que afectó a muchos usuarios.

https://www.cisco.com/c/en/us/support/docs/field-notices/725/fn72524.html

https://www.cisco.com/c/en/us/support/docs/wireless/aironet-700-series-access-points/218447-ios-ap-image-download-fails-due-to-expir.html

Fermin Alvarez

Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.

Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.