Cisco IOS AP image validation certificate failed/expired, causing AP join issues.

Triệu chứng:
Sau khi cài đặt hệ điều hành (IOS) mới cho bộ Wireless Lan Controller (WLC), các Acess Point (AP) có thể bị mắc kẹt ở trong trạng thái tải xuống IOS (image) từ WLC. Các AP báo lỗi về chứng chỉ SHA-1 (img_sign_rel.cert) hoặc SHA-2 (img_sign_rel_sha2.cert)

Tại AP, console thể hiện :

SHA-1 :

*Dec 6 21:35:24.259: Using SHA-1 signed certificate for image signing validation.
*Dec 6 21:35:24.327: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:37:36 UTC Dec 4 2022
*Dec 6 21:35:24.327: Image signing certificate validation failed (1A).

*Dec 6 21:35:24.327: Failed to validate signature
*Dec 6 21:35:24.327: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ9/final_hash)
*Dec 6 21:35:24.327: AP image integrity check FAILED

Hoặc

SHA-2:

*Dec 6 08:47:20.159: Using SHA-2 signed certificate for image signing validation.
*Dec 6 08:47:20.223: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_record.c:169 Pkt too old last_seq_num : 11116,Received sequence num: 1 distance: -11115
*Dec 6 08:47:20.227: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022
*Dec 6 08:47:20.227: Image signing certificate validation failed (1A).

*Dec 6 08:47:20.231: Failed to validate signature
*Dec 6 08:47:20.231: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ7c/final_hash)
*Dec 6 08:47:20.231: AP image integrity check FAILED

Điều kiện:
Bất kỳ AP (1700/2700/3700/1570) đang tải xuống image mới từ WLC chạy bất kỳ phiên bản IOS nào sau ngày 4 tháng 12 năm 2022.

AP có thể rời khỏi và tham gia (joint) lại bất kỳ WLC nào sau ngày 4 tháng 12 năm 2022 miễn là nó không phải tải xuống image mới, nếu nó phải tải xuống image mới (bất kể phiên bản là IOS-XE 9800 hoặc AireOS), nó sẽ thất bại (báo lỗi như trên).

Điều này không ảnh hưởng đến bất kỳ modem AP nào sau đây: x800, 1560, 91xx, v.v.

Biện pháp khắc phục:
Đối với tất cả các loại WLC: nếu bản fix sofware chưa được cài đặt trên WLC, thì để AP có thể tham gia:

• Vô hiệu hóa NTP (để không bị ghi đè thời gian máy chủ NTP server lên thời gian tạm thời của WLC)   

AireOS:
(AireOS WLC)>show time

make a note of all configured NTP servers, and delete each one:

(AireOS WLC)>config time ntp delete <INDEX_Number>

IOS-XE:
C9800#show run | i ntp 
ntp server ip <NTP_SERVER_IP1>
C9800#config terminal  
(config)#no ntp server ip <NTP_SERVER_IP1> ! for each configured NTP server

• Thay đổi ngày trên WLC về một thời điểm trước ngày 4 tháng 12 năm 2022.

(AireOS WLC)> config time manual 12/02/22 00:00:00

C9800#clock set 00:00:00 2 Dec 2022

** Không đặt ngày quá xa để vô hiệu hóa chứng chỉ mới hơn trên AP hoặc WLC

Chờ đến khi tất cả các AP hoàn tất việc tải image xuống và có thể joint vào WLC và tiếp tục hoạt động bình thường. Nếu một AP không thể joint vào WLC, hãy thử khởi động lại AP.

• Bật lại NTP sau khi tất cả AP đã joint vào WLC.

(AireOS WLC)>config time ntp server 1 <NTP_SERVER_IP1>

C9800#configure terminal
(config)#ntp server ip <NTP_SERVER_IP1>

(AireOS WLC)>save config
Are you sure you want to save? (y/n) y

C9800#write memory

(AireOS WLC)>show time
C9800# show clock

Mời Quý vị xem và cập nhật thêm tại IOS AP Image Download Fails Due to Expired Image Signing Certificate Post December 4th, 2022 (CSCwd80290) - Cisco