现场通知：FN63916-部分Cisco Aironet 1530、1550、1600、1700、2600、2700、3500、3600和3700系列可能无法加入无线LAN控制器-建议软件升级

2014年8月至2014年10月期间制造的某些无线接入点（AP）可能具有错误编程的SHA-2证书。 

受影响的产品系列包括：

• 思科Aironet 1530系列
• 思科Aironet 1550系列
• 思科Aironet 1600系列
• 思科Aironet 1700系列
• 思科Aironet 2600系列
• Cisco Aironet 2700系列
• Cisco Aironet 3500系列
• 思科Aironet 3600系列
• 思科Aironet 3700系列

第1版

将无线LAN控制器（WLC）升级到软件版本8.0.100.0或3.6.0E后

和

无线AP下载新软件版本后，任何具有错误编程的SHA-2证书的无线AP都会断开与WLC的连接，如果WLC具有SHA-2认证，则无法重新加入WLC。

第2期

任何软件版本为8.0.100.0且SHA-2证书编程错误的新无线AP都无法验证从WLC下载的图像。结果是AP无法建立与使用8.0.100.0版软件的WLC的连接。

如果AP的SHA-2证书编程不正确，而WLC的版本为8.0.100.0或3.6.0E，则观察到此问题的可能性为100%。

2014年8月至10月，增加了一项制造变更，以支持SHA-2证书。在证书链转换中，一些AP是使用错误的证书信息制造的。在此更改之前，AP只有一个SHA-1设备ID证书。更改后，AP同时具有SHA-1和SHA-2，但受影响机组上的SHA-2编程错误。

可用的固定代码确保AP继续作为2014年8月之前制造的AP运行。

受影响的AP功能齐全，相当于2014年8月之前制造的AP。

未来，Cisco将为AP和最近制造的WLC之间的SHA-2身份验证提供支持。

带有出厂安装的恢复Cisco IOS®的新Aironet AP能够加入运行软件版本8.0.100.0或3.6.0E并下载版本15.3（3）JA或15.3（三）JN IOS的控制器。然而，AP重新加载后，AP无法加入控制器。在AP上，可以看到类似的日志：

*10月16日12:39:06.231:AP拥有SHA2 MIC证书-对DTLS使用SHA2MIC证书。
*10月16日13:14:56.000:%CAPWAP-5-DTLSREQSEND:DTLS连接请求发送了peer_ip:***.**.**.***peer_port:5246对等证书验证失败FFFFFFFF
*10月16日13:14:56.127:DTLS_CLIENT_ERROR:/capwap/base_capwap/capwap/base _capwap_wtp_dtls.c:496证书验证失败！
*10月16日13:14:56.127:%DTLS-5-SEND_ALERT:向***发送致命：错误证书警报。***。***：5246
*10月16日13:14:56.127:%DTLS-5-SEND_ALERT：发送致命警报：关闭通知警报至***.**.***.**:5246

此问题的另一个症状是，AP可能能够加入软件版本8.0.100.0的控制器，下载新的Cisco IOS代码，并正确引导和加入控制器；然而，当它升级到更新的8.x代码时，它会陷入循环，下载失败。

*11月11日10:13:53.003：当前正在运行发布映像
*11月11日10:13:53.027：使用SHA-2签名证书进行图像签名验证。
*11月11日10:13:53.091:图像签名证书验证失败（FFFFFF）。
*11月11日10:13:53.091:验证签名失败
*11月11日10:13:53.091：数字签名验证失败（flash:/update/ap3g2-k9w8-mx.v153_80mr.20141031166/final_hash）
*11月11日10:13:53.091:AP图像完整性检查失败
正在中止图像下载
下载图像失败，通知控制器！！！从8.0.100.0到8.0.102.34，故障代码：3
档案下载：需要339秒
*11月11日10:14:02.399:capwap_image_proc：提取tar文件时出现问题

空中操作系统

为了避免此问题，如果WLC运行7.6或更低版本的软件，并且您的AP受此问题的影响，请不要升级到8.0.100.x版本系列。等待下一个Cisco Connection Online（CCO）版本。

AireOS解决方案

如果WLC已升级到8.0.100.x版，并且AireOS 7.6支持AP，请降级到此版本。

AireOS解决方案

如果WLC具有7.6或更低版本的软件，请将WLC升级到8.0.120.0或更高版本。

如果WLC的软件版本为8.0.100.x，请执行以下步骤：

1. 将WLC升级至软件版本8.0.104.0：
   • 所有控制器
   • WISM2型
2. 允许所有AP加入WLC并升级到软件版本8.0.104.0。
3. 将WLC升级到软件版本8.0.120.0或更高版本。

注：需要第2步将8.0.104.0特殊软件版本推送到AP上，以便允许将来进行所有升级。

思科IOS-XE

为了避免此问题，如果WLC的软件版本为3.3.x或更低版本，并且您有受此问题影响的AP，请不要升级到3.6.0E版本。

Cisco IOS-XE解决方案

如果WLC已升级到3.6.0E版，并且Cisco IOS-XE 3.3.x版支持AP，请降级到此版本。

Cisco IOS-XE解决方案

如果WLC的软件版本为3.6.0E，请执行以下步骤：

1. 升级至3.6.1或3.7.0或更高版本。
2. 输入无线安全证书force-sha1-cert命令。

在AP CLI中，输入显示版本命令并查找“顶部组件序列号”。顶部组件序列号的示例是FTX1613GJGA。

如果AP加入AireOS控制器：

• 在CLI中，输入显示ap库存APNAME命令。
• 从GUI中，选择无线>所有接入点>接入点名称>库存以便查看序列号。

如果AP连接到Cisco IOS-XE控制器：

• 在控制器CLI中，输入显示ap名称APNAME库存命令并查找“Cisco AP”序列号。
• 从GUI中，选择配置>无线>接入点>所有AP>APNAME>资源清册以查看序列号。

或者，序列号可以在AP的背面/底部找到：

确认您的序列号受序列号验证工具.