WLC Cluster (2*4006+) und reason: 3 unable to get certificat

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
Henri
Beiträge: 401
Registriert: 23 Jul 2005, 01:42

WLC Cluster (2*4006+) und reason: 3 unable to get certificat

Beitrag von Henri »

Hallo,

ich habe hier 2*4006+ als Cluster konfiguriert.
Leider ist es jetzt schon ca. zum 7. Mal vorgekommen, dass sich die 2 WLCs nicht mehr finden.

Status: Join-Fail(Session-ID-in-use) (WLC), DTLS-Setup (WLCB)

WLC:
[TLS] 2017/06/18 01:35:18,371
Receiving Certificate(s) on connection 375:
-> read certificate of C=DE, O=LANCOM SYSTEMS, CN=00:a0:57:xx:xx:xx (1015 bytes)
-> read certificate of C=DE, O=LANCOM SYSTEMS, CN=WLCB CA (912 bytes)
-> read certificate of C=DE, O=LANCOM SYSTEMS, CN=LANCOM CA (930 bytes)
Verification of certificate failed with reason: 3 unable to get certificate CRL
-> certificate chain verification error (Bad certificate)

Dir /Status/Certificates/CRLs/crls
Alles CRL_OK (beide Seiten).

Gibt es eine Chance zu verstehen, welches Zertifikat (wo und auf welcher Seite) hier nicht korrekt ist und was ich dagegen unternehmen kann?

Danke und viele Grüße

Henri
Benutzeravatar
fildercom
Beiträge: 1055
Registriert: 23 Jul 2007, 19:50
Wohnort: Stuttgart

Re: WLC Cluster (2*4006+) und reason: 3 unable to get certif

Beitrag von fildercom »

Hallo Henri,

wie hast du es denn geschafft, die Cluster-Option auf diesen Geräten zu aktivieren? Die ist doch für CPE-Geräte überhaupt nicht verfügbar, sondern nur für Central Site-Geräte.

Gruß
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn dual;
Switches: 2 x GS-2326; GS-2310P; 3 x GS-1108; 2 x Juniper EX2300-C-12P; Juniper EX2300-24P; 3 x Ubiquiti ES-16-XG
5624
Beiträge: 865
Registriert: 14 Mär 2012, 12:36

Re: WLC Cluster (2*4006+) und reason: 3 unable to get certif

Beitrag von 5624 »

Ein WLC-Cluster ist etwas anderes als das, was die Clustering-Option macht. Ich hatte schon lange vor der Clustering-Option einen WLC in Betrieb. Man musste nur dafür sorgen, dass die Änderungen auf beiden/allen Geräten durchgeführt wurden. Die Clustering-Funktion sorgt ja nur für einen Konfigurationsabgleich, die Zusammenarbeit der WLCs untereinander funktioniert unabhängig davon (gibt nur keine Anleitung für die manuelle Einrichtung dafür).

Wenn ich mich richtig daran erinner, müssen auf beiden WLCs die selben Zertifikate zum Einsatz kommen. Evtl. weichen die voneinander ab, also zwei unabhängig selbstsignierte vom Controller z.B.
LCS NC/WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: WLC Cluster (2*4006+) und reason: 3 unable to get certif

Beitrag von backslash »

Hi Henri,

der Trace sagt dir doch schin, was nicht funkltioniert:
Verification of certificate failed with reason: 3 unable to get certificate CRL
Du hast definiert, daß eine CRL (Certificate Revocation List) verwendet werden soll (Häkchen bei Zertifikate -> CRL-Client -> CRL Funktionalität aktiviert), jedoch kann die CRL nicht abgerufen werden. Wenn das passiert, kann der WLC ein nicht prüfen, ob ein ihm angebotenes Certifikat nicht zurückgezogen wurde - daher muß er alle ablehnen...

Schalte endweder den CRL-Client ab, oder sorge dafür, daß der im Root-Zertifikat abgegebene CRL-Server immer erreichbar ist... ggf. richtest du mehrere redundante CRL-Server ein, die du im CRL-Client unter "alternative URLs" angeben kannst.

Gruß
Backslash
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“