Beschreibung:<=
/p> In zertifikatsbasierten Szenarien (VPN und WLC), in welchen d=
er interne SCEP-Client des LANCOM Routers zur Verteilung der Zertifikate ve=
rwendet wird, erneuert der SCEP-Client auslaufende RA-Zertifikate nicht aut=
omatisch. In der Folge k=C3=B6nnen z.B. zertifikatsbasierte =
VPN-Verbindungen nicht mehr aufgebaut werden bzw. k=C3=B6nnen Access Points=
, welche von einem WLC verwaltet werden, keine Verbindung mehr zu diesem au=
fbauen.
1. Vorgehensweise zur Fehlerbehebung:=
p> Das beschriebene Verhalten l=C3=A4sst sich nur durch ein Updat=
e der LCOS-Firmware beheben, welches auf allen im Szenario beteili=
gten LANCOM Ger=C3=A4ten durchgef=C3=BChrt werden muss. Es wird ab den folgenden LCOS-Versionen behoben sein:
2. Wie kann im Fehlerfall =C3=BCberpr=C3=BCft werde=
n, ob das Szenario von dem hier beschriebenen Verhalten betroffen ist?
Im Fall, das in einem zertifikatsbasierten VPN-Szenario oder in =
einem WLC-Szenario die oben beschriebenen Verbindungsprobleme auftreten, so=
llten Sie mit den folgenden Vorgehensweisen =C3=BCberpr=C3=BCfen, ob das RA=
-Zertifikat abgelaufen ist und nicht vom SCEP-Client automatisch erneuert w=
urde: 2.1. Vorgehensweise bei zertifikatsbasierten VPN-Verbin=
dungen: 2.1.1. =C3=96ffnen Sie eine SSH-Sitzung=
auf dem LANCOM Ger=C3=A4t,=
welcher als Registrie=
rungsstelle (RA) fungiert:<=
/span> 2.1.2. Geben Sie an der=
Eingabeaufforderung den Befehl show scep vpn raenc rasig ein. Hiermit wird das aktuell verwendete RA-Zertifikat ausgel=
esen. Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, wel=
che am 28.11.2018 durchgef=C3=BChrt wurde. Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das=
RA-Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde. root@Initiator:/
> show scep vpn raenc rasig
No specific certificate was chosen, showing all Certificate for application 0
File /flash/security/vpn/vpn_pkcs12_int was read successfully Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3397240 (0x33d678)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=3DLANCOM CA,O=3DLANCOM SYSTEMS,C=3DDE
Validity Not Before: Nov 26 09:5=
2:15 2017 GMT Not After : =
Nov 23 09:52:15 2018 GMT 2.1.3 Aktualisieren =
Sie in diesem Fall die LCOS-Firmware bei allen Ger=C3=A4ten auf eine der oben angebenen Versionen=
um den Fehler zu beheben.
2.2 Vorgehensweise =
in WLC-Szenarien:
2.2.1. =C3=96ffnen Sie eine S=
SH-Sitzung auf einem LANCOM Access Point, welcher vom WLC verwaltet wird. 2.2.2. Geben Sie an der Eingabeaufforderung de=
n Befehl show scep cap=
wap raenc rasig ein. H=
iermit wird das aktuell verwendete Zertifikat ausgelesen. Das folgende Beispiel zeigt eine Ausgabe=
im Fehlerfall, welche am 28.11.2018 durc=
hgef=C3=BChrt wurde. Hier ist an der Zeile Not After : Nov 23 09:=
52:15 2018 GMT zu sehen, dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.=
Das folgende Beispie=
l zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgef=C3=BChrt wurde. Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das =
Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde. root@LANCOM_LN-830acn:/
> show scep capwap raenc rasig
File /flash/security/capwap/wtp_pkcs12_int was read successfully Certificate:
Data:
Version: 3 (0x2)
Serial Number: 77681 (0x12f71)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=3DLANCOM CA,O=3DLANCOM SYSTEMS,C=3DDE Not Before: Nov 26 09:52:15 2017 GMT Not After : Nov 23 09:52:15 2018 GMT =
2.2.3 Aktualisieren Sie in diesem Fall die LCOS-Firmware =
strong>bei allen Ger=C3=A4ten auf ei=
ne der oben angebenen Versionen, um den Fehler zu beheben. |