LANCOM Support Knowledgebase Dokument-Nr. 1811.3009.1408.RHOO - V3.90

Der LANCOM-interne SCEP-Client erneuert auslaufende RA-Zertifikate nicht automatisch



Beschreibung:

In zertifikatsbasierten Szenarien (VPN und WLC), in welchen der interne SCEP-Client des LANCOM Routers zur Verteilung der Zertifikate verwendet wird, erneuert der SCEP-Client auslaufende RA-Zertifikate nicht automatisch.

In der Folge können z.B. zertifikatsbasierte VPN-Verbindungen nicht mehr aufgebaut werden bzw. können Access Points, welche von einem WLC verwaltet werden, keine Verbindung mehr zu diesem aufbauen.




1. Vorgehensweise zur Fehlerbehebung:

Das beschriebene Verhalten lässt sich nur durch ein Update der LCOS-Firmware beheben, welches auf allen im Szenario beteiligten LANCOM Geräten durchgeführt werden muss.

Es wird ab den folgenden LCOS-Versionen behoben sein:
  • LCOS 9.24 RU10 (in Kürze verfügbar)



2. Wie kann im Fehlerfall überprüft werden, ob das Szenario von dem hier beschriebenen Verhalten betroffen ist?

Im Fall, das in einem zertifikatsbasierten VPN-Szenario oder in einem WLC-Szenario die oben beschriebenen Verbindungsprobleme auftreten, sollten Sie mit den folgenden Vorgehensweisen überprüfen, ob das RA-Zertifikat abgelaufen ist und nicht vom SCEP-Client automatisch erneuert wurde:
    2.1. Vorgehensweise bei zertifikatsbasierten VPN-Verbindungen:

    2.1.1. Öffnen Sie eine SSH-Sitzung auf dem LANCOM Gerät, welcher als Registrierungsstelle (RA) fungiert:

    2.1.2. Geben Sie an der Eingabeaufforderung den Befehl show scep vpn raenc rasig ein. Hiermit wird das aktuell verwendete RA-Zertifikat ausgelesen.
      Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

      Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das RA-Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

      root@Initiator:/
      > show scep vpn raenc rasig
      No specific certificate was chosen, showing all

      Certificate for application 0
      File /flash/security/vpn/vpn_pkcs12_int was read successfully

      Certificate:
      Data:
      Version: 3 (0x2)
      Serial Number: 3397240 (0x33d678)
      Signature Algorithm: sha256WithRSAEncryption
      Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE
      Validity
      Not Before: Nov 26 09:52:15 2017 GMT
      Not After : Nov 23 09:52:15 2018 GMT


    2.1.3 Aktualisieren Sie in diesem Fall die LCOS-Firmware bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.



    2.2 Vorgehensweise in WLC-Szenarien:

    2.2.1. Öffnen Sie eine SSH-Sitzung auf einem LANCOM Access Point, welcher vom WLC verwaltet wird.

    2.2.2. Geben Sie an der Eingabeaufforderung den Befehl show scep capwap raenc rasig ein. Hiermit wird das aktuell verwendete Zertifikat ausgelesen.
      Das folgende Beispiel zeigt eine Ausgabe im Fehlerfall, welche am 28.11.2018 durchgeführt wurde.

      Hier ist an der Zeile Not After : Nov 23 09:52:15 2018 GMT zu sehen, dass das Zertifikat nicht rechtzeitig vor dem Ablauf aktualisiert wurde.

      root@LANCOM_LN-830acn:/
      > show scep capwap raenc rasig
      File /flash/security/capwap/wtp_pkcs12_int was read successfully

      Certificate:
      Data:
      Version: 3 (0x2)
      Serial Number: 77681 (0x12f71)
      Signature Algorithm: md5WithRSAEncryption
      Issuer: CN=LANCOM CA,O=LANCOM SYSTEMS,C=DE
      Not Before: Nov 26 09:52:15 2017 GMT
      Not After : Nov 23 09:52:15 2018 GMT


    2.2.3 Aktualisieren Sie in diesem Fall die LCOS-Firmware bei allen Geräten auf eine der oben angebenen Versionen um den Fehler zu beheben.
    Catchwords: Zertifikat; CA; RA; SCEP; ablauf; erneuern; VPN; wlc; client
    Bitte bewerten Sie dieses Dokument! Dieses Dokument hat mir geholfen Dieses Dokument hat mir nicht geholfen