Versionen im Vergleich

Alte Version 7

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.


Seiteneigenschaften




Beschreibung:

In zertifikatsbasierten Szenarien (VPN und WLC), in welchen der interne SCEP-Client des LANCOM Routers zur Verteilung der Zertifikate verwendet wird, erneuert der SCEP-Client auslaufende RA-Zertifikate nicht automatisch.

In der Folge können z.B. zertifikatsbasierte VPN-Verbindungen nicht mehr aufgebaut werden bzw. können Access Points, welche von einem WLC verwaltet werden, keine Verbindung mehr zu diesem aufbauen.


1. Vorgehensweise zur Fehlerbehebung:

Das beschriebene Verhalten lässt sich nur durch ein Update der LCOS-Firmware beheben, welches auf allen im Szenario beteiligten LANCOM Geräten durchgeführt werden muss.

Es wird ab den folgenden LCOS-Versionen behoben sein:



2. Wie kann im Fehlerfall überprüft werden, ob das Szenario von dem hier beschriebenen Verhalten betroffen ist?

Im Fall, das in einem zertifikatsbasierten VPN-Szenario oder in einem WLC-Szenario die oben beschriebenen Verbindungsprobleme auftreten, sollten Sie mit den folgenden Vorgehensweisen überprüfen, ob das RA-Zertifikat abgelaufen ist und nicht vom SCEP-Client automatisch erneuert wurde:

2.1. Vorgehensweise bei zertifikatsbasierten VPN-Verbindungen:

      2.1.1. Öffnen Sie eine
SSH-Sitzung auf dem LANCOM Gerät
      , welcher als
Registrierungsstelle (RA) fungiert
      :


      2.1.2. Geben Sie an der Eingabeaufforderung den Befehl
show scep vpn raenc rasig
    ein. Hiermit wird das aktuell verwendete RA-Zertifikat ausgelesen.
Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.
        Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass
das RA-Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

        root@Initiator:/

        > show scep vpn raenc rasig

        No specific certificate was chosen, showing all


        Certificate for application 0

        File /flash/security/vpn/vpn_pkcs12_int was read successfully


        Certificate:

        Data:

        Version: 3 (0x2)

        Serial Number: 3397240 (0x33d678)

        Signature Algorithm: sha256WithRSAEncryption

        Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE

        Validity

        Not Before: Nov 26 09:52:15 2017 GMT

      Not After : Nov 23 09:52:15 2018 GMT
      2.1.3
Aktualisieren Sie in diesem Fall die LCOS-Firmware
      bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.



2.2 Vorgehensweise in WLC-Szenarien:
      2.2.1. Öffnen Sie eine
SSH-Sitzung auf einem LANCOM
      Access Point, welcher vom WLC verwaltet wird.

      2.2.2. Geben Sie an der Eingabeaufforderung den Befehl
show scep capwap raenc rasig
      ein. Hiermit wird das aktuell verwendete Zertifikat ausgelesen.

Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

        Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass
das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

        root@LANCOM_LN-830acn:/

        > show scep capwap raenc rasig

        File /flash/security/capwap/wtp_pkcs12_int was read successfully


        Certificate:

        Data:

        Version: 3 (0x2)

        Serial Number: 77681 (0x12f71)

        Signature Algorithm: md5WithRSAEncryption

        Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE

        Not Before: Nov 26 09:52:15 2017 GMT

      Not After : Nov 23 09:52:15 2018 GMT
      2.2.3
Aktualisieren Sie in diesem Fall die LCOS-Firmware
    bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.