[Solved] CA certificates not valid

[snow-white]

Auf unserem WLC 4025+ bekomme ich obige Fehlermeldung, wenn ich einen neuen AP zuordnen will.
Der AP wird erkannt, ist im WLC eingetragen. Er taucht dann als neuer AP auf und auch als fehlender AP. Im Monitor sehe ich auch keinerlei Zertifikate. Bin für jeden Hinweis dankbar.

[Dr.Einstein]

Dämliche Frage aber: WLC hat korrekte Uhrzeit?

Gruß Dr.Einstein

[snow-white]

War auch meine erste Idee. Der WLC bezieht seine Zeit über eine Funkuhr als interner NTP-Server.

[LoUiS]

Mal die Zertifikate auf dem WLC und auf dem AP geprueft, wie lange diese noch gueltig sind?
Bzw. den AP auch noch mal komplett ueber den Knopf zurueckgesetzt, um evtl. darin vorhandene Zertifikate zu loeschen?


Ciao
LoUiS

[snow-white]

Die Zertifikate auf dem WLC sind gültig bis Ende des Jahres. ich habe mal einen Kaltstart gemacht. Das Problem scheint der WLC zu sein, CA Initialisierungsfehler.
CA LED blinkt auch. Was passiert eigentlich, wenn ich CA und SCEP abschalte?

[klein]

Hi, das gleich Problem hatte ich auch, dann stand aber unter Zertifikate im LanMonitor, das eine Anfrage vorhanden ist. Diese konnte ich dann auch annehmen, indem ich mit rechtsklick das kontentmenü aufgerufen habe und da dann auf annehmen oder so ähnlich geklickt habe.
Dann hat es noch ein wenig gedauert und der AP verschwand bei lost AP's und erschien bei den aktiven.
Grüße Klein

[snow-white]

Das hatte ich in der Vergangenheit ebenfalls. Der Zustand heute ist aber, dass eben keinerlei Zertifikate angezeigt werden. Auch keine vorhandenen oder wartenden oder so.
Mal unverbindlich dem Lancom Support das Problem geschildert, nachdem ein Systemhaus sich des Problems nicht annehmen wollte oder konnte.

[Dr.Einstein]

Alse ich hatte solche Fälle auch bereits. Hatte dafür einfach den WLC platt gemacht, Skript Datei eingespielt inkl PW, danach die APs plattgemacht und alles war wieder iO.

Es gibt auch Telnet Befehle zum Reinizialisieren, aber in bestimmten muss man vorher die alten Zertifikate löschen etc... weshalb der Weg des Plattmachens evtl schneller ist.

Gruß Dr.Einstein

[snow-white]

Nur mal so zur Info. Plan B ausgeführt. Da das WLAN sich über mehrere Lagerhallen spannt, die AP meist an den Decken hängen und ohne Steiger nicht zu erreichen sind, ist das mit dem plattmachen so eine Sache, zumal das Zeitfenster für Wartung, Sonnabend ab 12 bis Sonntag 20, nicht gerade groß ist.
Demzufolge habe ich die AP nach und nach umkonfiguriert auf Basisstation. Bei der Gelegenheit Firmware von 8.50 auf 8.84 hochgezogen. Alles reine Fleißarbeit. Neuen Loader laden, Minimalfirmware laden, 8.84 laden, konfigurieren, fertig. Das Ganze über 50 mal.
Den WLC mit einem „do Reset-Config“ auf Werkseinstellungen zurückgesetzt. Beim Start bastelt er sich seine neuen Zertifikate. Letzte aktuelle Konfiguration eingespielt. Testweise einen AP wieder dem WLC zugeordnet. Sieht alles wieder normal aus.
Nun wollte ich die Zertifikate sichern als PKCS 12 Container. Neuer Fehler „Diese Datei ist auf dem Controller nicht vorhanden.“ Jetzt bleiben erstmal alle AP auf Basisstation.

[langewiesche]

Du hast doch die Config. Resetet doch den ap per Cli mache die automatische Annahme neuer aps am Wlc an. Und wenn das geht Resetet in Gruppen per Script datei. 15 min ist das gelaufen bei 50 aps. Und du hast neue saubere Zertifikate

[snow-white]

Mit Hilfe des Supports die Fehlermeldung "Diese Datei ...nicht vorhanden" geklärt. Erst muss auf den Controller ein CA Backup gespeichert werden. Dann kann man die entsprechenden Container auch sichern. War mir neu. Kann mich nicht erinnern, dass bei der Ersteinrichtung auch gemacht zu haben. Ist allerdings auch schon fast vier Jahre her.
Nun können die AP wieder unter die Fittiche des Controllers .
Kleine Ergänzung, sie sind alle wieder unter Kontrolle.