Router bekommt via SCEP vom WLAN-Controller kein neues Zertifikat mehr

[fildercom]

Hallo zusammen,

folgendes Szenario: WLC-4006+ ist als WLC ja automatisch auch als CA zu gebrauchen. Also habe ich den 1781VA als SCEP-Client am WLC-4006+ vor Jahren angemeldet, damit dieser sein VPN-Zertifikat automatisch beziehen kann. Das war immer 1 Jahr gültig. Nun ist am Sonntag, 24.05.2020 leider das CA-Zertifikat zu Ende.

Normalerweise ist das alles kein Problem, ich habe die Default-Einstellungen nicht verändert, so dass 3 Tage vor Ablauf das neue CA-Zertifikat angefordert wird, 2 Tage vor Ablauf das Gerätezertifikat.

Bei meinen Access-Points hat das auch geklappt, die haben jetzt alle neue Zertifikate erhalten.

Nur der 1781VA nicht:

cert.PNG

Ich habe ihn schon 2 Mal neu gestartet, sowie den SCEP-Client deaktiviert und wieder aktiviert, leider alles erfolglos.

Weiß jemand, was hier schief gelaufen sein kann und was man dagegen tun könnte? Die Einstellungen habe ich kontrolliert, sie sind alle identisch mit den Access-Points, wo es ja sauber funktioniert hat. Kann es sein, dass der 1781VA langsam stirbt? Ich musste ihn heute neu starten, da der LANmonitor keine Informationen per SNMPv3 mehr abrufen konnte, obwohl auch alle Einstellungen korrekt waren. Nach dem Neustart ging es dann wieder.

Hat jemand eine Idee, was da los sein kann? Ach ja, es läuft LCOS 10.32 RU9 auf dem Gerät.

Viele Grüße und danke
fildercom.

[5624]

Das hatte ich auch mal vor Jahren mit den WLCs. Support kontaktiert. Ich glaube die Empfehlung war einfach die CA-Zertifikate zu löschen und neu zu generieren.

Hier die Antwort vom Support aus 2014:

Code: Alles auswählen

mit folgenden Beiden Befehlen können Sie ein erneuern des Zertifikats
erzwingen.

Bitte beachten Sie, dass auf dem LANCOM eine Systemzeit gesetzt sein muss.

Abgelaufenes Controller Zertifikat löschen

rm /status/file-system/contents/controller_pkcs12_int

SCEP Client reinitialisieren um ein neues Zertifikat zu beziehen

do /setup/certificates/scep-client/reinit

Und dass SNMP manchmal nicht reagiert kenne ich nicht anders. LANmonitor schließen, ein paar Minuten warten, nochmal versuchen.

[fildercom]

Das hatte ich auch mal vor Jahren mit den WLCs. Support kontaktiert. Ich glaube die Empfehlung war einfach die CA-Zertifikate zu löschen und neu zu generieren.

Danke. Ich habe es mal so gemacht, aber das CA-Zertifikat war gar nicht mehr vorhanden:

Code: Alles auswählen

root@:/
> rm /status/file-system/contents/controller_pkcs12_int
 Path name wrong: controller_pkcs12_int

Ich habe mal geschaut, was sich in dem Ordner befindet und habe das VPN-Zertifikat dort mal gelöscht und den SCEP-Client neu initialisiert:

Code: Alles auswählen

root@:/Status/File-System/Contents
> ls

Name                                                                                                                              Size
==================================================================================================================================--------
tempminmax                                                                                                                        56
configcnt                                                                                                                         4
ssl_privkey                                                                                                                       1675
vpn_pkcs12_int                                                                                                                    4502
volume_budget_archive                                                                                                             178
ssh_rsakey                                                                                                                        1675
ssh_dsakey                                                                                                                        672
ssh_ecdsakey                                                                                                                      241

root@:/Status/File-System/Contents
> rm /status/file-system/contents/vpn_pkcs12_int

root@:/Status/File-System/Contents
> do /setup/certificates/scep-client/reinit
OK: Action Reinit done

Leider alles erfolglos, selbst nach dem Neustart des Routers "kleben" die Reste des eingentlich bereits gelöschen Zertifikats noch drin und neue werden nicht bezogen:

cert.PNG

Und dass SNMP manchmal nicht reagiert kenne ich nicht anders. LANmonitor schließen, ein paar Minuten warten, nochmal versuchen.

Keine Chance, das war einen Tag so und kam nicht von selbst wieder, erfolglos mit mehreren Clients getestet. Auch das Löschen und Neu-Anlegen des Gerätes im LANmonitor hat nicht geklappt, er hat angezeigt, dass die Zugangsdaten falsch seien (obwohl die zu 100 % richtig waren).

Zum erstgenannten Problem mit dem Zertifikat kann ich mir nur vorstellen, dass es a) entweder ein Bug in LCOS 10.32 ist, den noch niemand entdeckt hat (auf meinen Access-Points hingegen ist LCOS 10.20 drauf) oder b) das Dateisystem bzw. der Flash-Speicher einen Schaden hat. Möglicherweise ist das SNMP-Problem auch damit in Verbindung, aber ich bin leider kein Insider... Vielleicht hat ja jemand von dieser Gruppe noch einen heißen Tipp, was da los sein kann.

Viele Grüße und danke
fildercom.

[fildercom]

Nachtrag:
Ich habe im SCEP-Client auf dem 1781VA mal im Pfad zum WLC das "https" durch ein "http" ersetzt. Das hat nichts gebracht. Anschließend habe ich es wieder zurück auf https gestellt und siehe da:

cert.PNG

Das ist wirklich mehr als merkwürdig und die Ursache dafür scheint noch viel unklarer zu sein...