通知
本现场通知按“原样”提供,并不意味着任何类型的担保或保证,包括适销性保证。您使用现场通知上的信息或现场通知链接的材料的风险由您自己承担。思科保留随时更改或更新本现场通知的权利。
受影响的产品
缺陷信息
问题描述
2014年8月至2014年10月期间制造的某些无线接入点(AP)可能具有错误编程的SHA-2证书。
受影响的产品系列包括:
- 思科Aironet 1530系列
- 思科Aironet 1550系列
- 思科Aironet 1600系列
- 思科Aironet 1700系列
- 思科Aironet 2600系列
- Cisco Aironet 2700系列
- Cisco Aironet 3500系列
- 思科Aironet 3600系列
- 思科Aironet 3700系列
第1版
将无线LAN控制器(WLC)升级到软件版本8.0.100.0或3.6.0E后
和
无线AP下载新软件版本后,任何具有错误编程的SHA-2证书的无线AP都会断开与WLC的连接,如果WLC具有SHA-2认证,则无法重新加入WLC。
第2期
任何软件版本为8.0.100.0且SHA-2证书编程错误的新无线AP都无法验证从WLC下载的图像。结果是AP无法建立与使用8.0.100.0版软件的WLC的连接。
如果AP的SHA-2证书编程不正确,而WLC的版本为8.0.100.0或3.6.0E,则观察到此问题的可能性为100%。
背景
2014年8月至10月,增加了一项制造变更,以支持SHA-2证书。在证书链转换中,一些AP是使用错误的证书信息制造的。在此更改之前,AP只有一个SHA-1设备ID证书。更改后,AP同时具有SHA-1和SHA-2,但受影响机组上的SHA-2编程错误。
可用的固定代码确保AP继续作为2014年8月之前制造的AP运行。
受影响的AP功能齐全,相当于2014年8月之前制造的AP。
未来,Cisco将为AP和最近制造的WLC之间的SHA-2身份验证提供支持。
问题症状
带有出厂安装的恢复Cisco IOS®的新Aironet AP能够加入运行软件版本8.0.100.0或3.6.0E并下载版本15.3(3)JA或15.3(三)JN IOS的控制器。然而,AP重新加载后,AP无法加入控制器。在AP上,可以看到类似的日志:
*10月16日12:39:06.231:AP拥有SHA2 MIC证书-对DTLS使用SHA2MIC证书。
*10月16日13:14:56.000:%CAPWAP-5-DTLSREQSEND:DTLS连接请求发送了peer_ip:***.**.**.***peer_port:5246对等证书验证失败FFFFFFFF
*10月16日13:14:56.127:DTLS_CLIENT_ERROR:/capwap/base_capwap/capwap/base _capwap_wtp_dtls.c:496证书验证失败!
*10月16日13:14:56.127:%DTLS-5-SEND_ALERT:向***发送致命:错误证书警报。***。***:5246
*10月16日13:14:56.127:%DTLS-5-SEND_ALERT:发送致命警报:关闭通知警报至***.**.***.**:5246
此问题的另一个症状是,AP可能能够加入软件版本8.0.100.0的控制器,下载新的Cisco IOS代码,并正确引导和加入控制器;然而,当它升级到更新的8.x代码时,它会陷入循环,下载失败。
*11月11日10:13:53.003:当前正在运行发布映像
*11月11日10:13:53.027:使用SHA-2签名证书进行图像签名验证。
*11月11日10:13:53.091:图像签名证书验证失败(FFFFFF)。
*11月11日10:13:53.091:验证签名失败
*11月11日10:13:53.091:数字签名验证失败(flash:/update/ap3g2-k9w8-mx.v153_80mr.20141031166/final_hash)
*11月11日10:13:53.091:AP图像完整性检查失败
正在中止图像下载
下载图像失败,通知控制器!!!从8.0.100.0到8.0.102.34,故障代码:3
档案下载:需要339秒
*11月11日10:14:02.399:capwap_image_proc:提取tar文件时出现问题
解决方法/解决方案
空中操作系统
为了避免此问题,如果WLC运行7.6或更低版本的软件,并且您的AP受此问题的影响,请不要升级到8.0.100.x版本系列。等待下一个Cisco Connection Online(CCO)版本。
AireOS解决方案
如果WLC已升级到8.0.100.x版,并且AireOS 7.6支持AP,请降级到此版本。
AireOS解决方案
如果WLC具有7.6或更低版本的软件,请将WLC升级到8.0.120.0或更高版本。
如果WLC的软件版本为8.0.100.x,请执行以下步骤:
- 将WLC升级至软件版本8.0.104.0:
- 允许所有AP加入WLC并升级到软件版本8.0.104.0。
- 将WLC升级到软件版本8.0.120.0或更高版本。
注:需要第2步将8.0.104.0特殊软件版本推送到AP上,以便允许将来进行所有升级。
思科IOS-XE
为了避免此问题,如果WLC的软件版本为3.3.x或更低版本,并且您有受此问题影响的AP,请不要升级到3.6.0E版本。
Cisco IOS-XE解决方案
如果WLC已升级到3.6.0E版,并且Cisco IOS-XE 3.3.x版支持AP,请降级到此版本。
Cisco IOS-XE解决方案
如果WLC的软件版本为3.6.0E,请执行以下步骤:
- 升级至3.6.1或3.7.0或更高版本。
- 输入无线安全证书force-sha1-cert命令。
如何识别受影响的产品
在AP CLI中,输入显示版本
命令并查找“顶部组件序列号”。顶部组件序列号的示例是FTX1613GJGA。
如果AP加入AireOS控制器:
- 在CLI中,输入
显示ap库存APNAME
命令。
- 从GUI中,选择无线>所有接入点>接入点名称>库存以便查看序列号。
如果AP连接到Cisco IOS-XE控制器:
- 在控制器CLI中,输入
显示ap名称APNAME库存
命令并查找“Cisco AP”序列号。
- 从GUI中,选择配置>无线>接入点>所有AP>APNAME>资源清册以查看序列号。
或者,序列号可以在AP的背面/底部找到:
确认您的序列号受序列号验证工具.
修订历史记录
版本 | 描述 | 章节 | 日期 |
10.2 | 更新了“如何识别受影响的产品”部分 | — | 2020-05年5月 |
10.1 | 修复了断开的图像链接 | — | 2018年5月22日 |
10 | 迁移到新的现场通知系统 | — | 2017年10月13日 |
有关更多信息
要获得更多帮助或有关此字段通知的更多信息,请使用以下方法之一联系Cisco技术支持中心(TAC):
接收关于新现场通知的电子邮件通知
要接收有关特定Cisco产品的现场通知(可靠性和安全问题)、安全咨询(网络安全问题)和报废通知的电子邮件更新,请在我的通知