Catalyst9800-CL保守時のtrustpoint対応
Catalyst9800-CLを別環境へ移設した際、既存Configを投入するだけではHTTPS(GUI)/APのJoinができなかったので下記メモを残す。 時間があるときに再度清書する。 Cat9800-CL 保守手順:HTTPS(GUI)/ AP Join(CAPWAP-DTLS)復旧(SSC欠落時) 1. 目的 RMA/移設/構成踏襲後に発生しやすい、以下の障害を CLIのみで復旧する。 GUI(HTTPS) に接続できない APがJoinできない(DTLSハンドシェイク失敗) 本手順は特に、9800-CL で見落としがちな vWLC-SSC(SSC)未生成/未割当に起因する障害を想定する。 2. 想定する障害症状 2.1 GUI(HTTPS)が死ぬ症状例 ブラウザでGUIへ接続不可 クライアントで curl https://<WLC-IP> を実行すると、例: TLS connect error: ... tlsv1 alert internal error 2.2 AP Join が死ぬ症状例(WLC側) show wireless stats ap join summary で以下のような表示: Status: Not Joined Last Failure Phase: Dtls-Handshake Last Disconnect Reason: DTLS cert-chain not available 3. 原因(今回の事象の本質) RMA/構成踏襲で 設定は残るが、証明書・秘密鍵の実体が新筐体(新VM)に存在しないことがある。 特に 9800-CL の AP Join(CAPWAP-DTLS)では、WMI(Wireless Management Interface)に紐づく DTLS用の証明書チェーン(SSC/MIC) が必要で、これが欠落すると AP が Join できない。 ...