Beschreibung: In zertifikatsbasierten Szenarien (VPN und WLC), in welchen der interne SCEP-Client des LANCOM Routers zur Verteilung der Zertifikate verwendet wird, erneuert der SCEP-Client auslaufende RA-Zertifikate nicht automatisch. In der Folge können z.B. zertifikatsbasierte VPN-Verbindungen nicht mehr aufgebaut werden bzw. können Access Points, welche von einem WLC verwaltet werden, keine Verbindung mehr zu diesem aufbauen.
1. Vorgehensweise zur Fehlerbehebung: Das beschriebene Verhalten lässt sich nur durch ein Update der LCOS-Firmware beheben, welches auf allen im Szenario beteiligten LANCOM Geräten durchgeführt werden muss. Es wird ab den folgenden LCOS-Versionen behoben sein:
2. Wie kann im Fehlerfall überprüft werden, ob das Szenario von dem hier beschriebenen Verhalten betroffen ist?
Im Fall, das in einem zertifikatsbasierten VPN-Szenario oder in einem WLC-Szenario die oben beschriebenen Verbindungsprobleme auftreten, sollten Sie mit den folgenden Vorgehensweisen überprüfen, ob das RA-Zertifikat abgelaufen ist und nicht vom SCEP-Client automatisch erneuert wurde: 2.1. Vorgehensweise bei zertifikatsbasierten VPN-Verbindungen: 2.1.1. Öffnen Sie eine eine SSH-Sitzung auf dem LANCOM Gerät , welcher als als Registrierungsstelle (RA) fungiert : 2.1.2. Geben Sie an der Eingabeaufforderung den Befehl Befehl show scep vpn raenc rasigrasig ein. Hiermit wird das aktuell verwendete RA-Zertifikat ausgelesen. Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde. Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass dass das RA-Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde. root@Initiator:/ > show scep vpn raenc rasig No specific certificate was chosen, showing all Certificate for application 0 File /flash/security/vpn/vpn_pkcs12_int was read successfully Certificate: Data: Version: 3 (0x2) Serial Number: 3397240 (0x33d678) Signature Algorithm: sha256WithRSAEncryption Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE Validity Not Before: Nov 26 09:52:15 2017 GMT Not After : Nov 23 09:52:15 2018 GMT 2.1. 3 3 Aktualisieren Sie in diesem Fall die LCOS- FirmwareFirmware bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.
2.2 Vorgehensweise in WLC-Szenarien:
2.2.1. Öffnen Sie eine eine SSH-Sitzung auf einem LANCOM LANCOM Access Point, welcher vom WLC verwaltet wird. 2.2.2. Geben Sie an der Eingabeaufforderung den Befehl Befehl show scep capwap raenc rasigrasig ein. Hiermit wird das aktuell verwendete Zertifikat ausgelesen. Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde. Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde. Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde. Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde. root@LANCOM_LN-830acn:/ > show scep capwap raenc rasig File /flash/security/capwap/wtp_pkcs12_int was read successfully Certificate: Data: Version: 3 (0x2) Serial Number: 77681 (0x12f71) Signature Algorithm: md5WithRSAEncryption Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE Not Before: Nov 26 09:52:15 2017 GMT Not After : Nov 23 09:52:15 2018 GMT 2.2.3 Aktualisieren Sie in diesem Fall die LCOS- FirmwareFirmware bei allen Geräten auf eine der oben angebenen Versionen, um den Fehler zu beheben. |