Versionen im Vergleich

Alte Version 8

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 9

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Seiteneigenschaften




Beschreibung:

In zertifikatsbasierten Szenarien (VPN und WLC), in welchen der interne SCEP-Client des LANCOM Routers zur Verteilung der Zertifikate verwendet wird, erneuert der SCEP-Client auslaufende RA-Zertifikate nicht automatisch.

In der Folge können z.B. zertifikatsbasierte VPN-Verbindungen nicht mehr aufgebaut werden bzw. können Access Points, welche von einem WLC verwaltet werden, keine Verbindung mehr zu diesem aufbauen.


1. Vorgehensweise zur Fehlerbehebung:

Das beschriebene Verhalten lässt sich nur durch ein Update der LCOS-Firmware beheben, welches auf allen im Szenario beteiligten LANCOM Geräten durchgeführt werden muss.

Es wird ab den folgenden LCOS-Versionen behoben sein:



2. Wie kann im Fehlerfall überprüft werden, ob das Szenario von dem hier beschriebenen Verhalten betroffen ist?

Im Fall, das in einem zertifikatsbasierten VPN-Szenario oder in einem WLC-Szenario die oben beschriebenen Verbindungsprobleme auftreten, sollten Sie mit den folgenden Vorgehensweisen überprüfen, ob das RA-Zertifikat abgelaufen ist und nicht vom SCEP-Client automatisch erneuert wurde:

2.1. Vorgehensweise bei zertifikatsbasierten VPN-Verbindungen:

2.1.1. Öffnen Sie

eine

eine SSH-Sitzung auf dem LANCOM Gerät

, welcher

als

als Registrierungsstelle (RA) fungiert

:

2.1.2. Geben Sie an der Eingabeaufforderung den

Befehl

Befehl show scep vpn raenc

rasig

rasig ein. Hiermit wird das aktuell verwendete RA-Zertifikat ausgelesen.

Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen,

dass

dass das RA-Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

root@Initiator:/
> show scep vpn raenc rasig
No specific certificate was chosen, showing all

Certificate for application 0
File /flash/security/vpn/vpn_pkcs12_int was read successfully

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 3397240 (0x33d678)
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE
Validity
Not Before: Nov 26 09:52:15 2017 GMT
Not After : Nov 23 09:52:15 2018 GMT

2.1.

3

Aktualisieren Sie in diesem Fall die LCOS-

Firmware

Firmware bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.



2.2 Vorgehensweise in WLC-Szenarien:

2.2.1. Öffnen Sie

eine

eine SSH-Sitzung auf einem

LANCOM

LANCOM Access Point, welcher vom WLC verwaltet wird.

2.2.2. Geben Sie an der Eingabeaufforderung den

Befehl

Befehl show scep capwap raenc

rasig

rasig ein. Hiermit wird das aktuell verwendete Zertifikat ausgelesen.

Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen,

dass

dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

root@LANCOM_LN-830acn:/
> show scep capwap raenc rasig
File /flash/security/capwap/wtp_pkcs12_int was read successfully

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 77681 (0x12f71)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE
Not Before: Nov 26 09:52:15 2017 GMT
Not After : Nov 23 09:52:15 2018 GMT

2.2.3

Aktualisieren Sie in diesem Fall die LCOS-

Firmware

Firmware bei allen Geräten auf eine der oben angebenen Versionen, um den Fehler zu beheben.