LANCOM Support Knowledgebase Dokument-Nr. 1812.0414.5814.MMÜL - V1.80

Automatische Erneuerung des Geräte-Zertifikates mit "RA-Auto-Approve" funktioniert nicht



Beschreibung:

In diesem Dokument werden die notwendigen Schritte beschrieben, wenn die automatische Erneuerung des Geräte-Zertifikates nicht funktioniert.

Bei Verwendung der Funktion RA-Auto-Approve im SCEP-Client erfolgt die Authentifizierung bei der CA über ein bereits vorhandenes Geräte-Zertifikat anstatt über ein Challenge-Passwort. Aufgrund eines Fehlers bei der Gültigkeitsprüfung kann das Geräte-Zertifikat nicht erneuert werden.

Der SCEP-Client wird immer in WLAN-Controller-Szenarien verwendet. Auch in VPN-Szenarien kann der SCEP-Client zur Anwendung kommen, wenn der LANCOM Router die Zertifikate von einem SCEP-Server beziehen soll.


Die Thematik wird ab den folgenden Firmware-Versionen behoben sein:


Vorgehensweise:

Nach Möglichkeit sollte ein Firmware-Update auf die oben angegebenen LCOS-Versionen vorgenommen werden. Die automatische Erneuerung des Geräte-Zertifikates über die Funktion RA-Auto-Approve ist hier wieder funktionsfähig.

Ist das Geräte-Zertifikat noch gültig kann ein neues Zertifikates über den Konsolen-Befehl do Setup/Certificates/SCEP-Client/Update bezogen werden.

Die Gültigkeit der im Gerät hinterlegten Zertifikate kann über den Konsolen-Befehl show scep timer eingesehen werden (hier bei einem WLAN-Controller). Das Zertifikat ist bis zum 12.03.2019 gültig.
    Show all timers (UTC):
    Client0 (CONTROLLER):
    Ca/Ra upgrade timer: expires 3/9/2028 15:20:48 current-time 12/6/2018 13:07:31 update-before-3-days still 291867197 sec(3/6/2028 15:20:48) is running
    Cert upgrade timer: expires 3/12/2019 15:20:58 current-time 12/6/2018 13:07:31 update-before-2-days still 8129607 sec(3/10/2019 15:20:58) is running

    Cert reminder expiration's timer: remind-before-7-days still 7697607 sec(3/5/2019 15:20:58) is running

    Cert inform expiration's timer: expires 3/12/2019 15:20:58 still 8302407 sec(3/12/2019 15:20:58) is running

Hier die Ausgabe bei einem VPN-Router. Das Geräte-Zertifikat ist bis zum 05.03.2019 gültig.

    Show all timers (UTC):
    Client2 (ROUTER-CERT):
    Ca/Ra upgrade timer: expires 3/10/2028 9:50:10 current-time 12/6/2018 14:00:49 update-before-3-days still 291930560 sec(3/7/2028 9:50:09) is running
    Cert upgrade timer: expires 9/5/2019 13:12:34 current-time 12/6/2018 14:00:49 update-before-2-days still 23411504 sec(9/3/2019 13:12:33) is running

    Cert reminder expiration's timer: remind-before-7-days still 22979504 sec(8/29/2019 13:12:33) is running

    Cert inform expiration's timer: expires 9/5/2019 13:12:34 still 23584304 sec(9/5/2019 13:12:33) is running
    Catchwords: RA-Auto-Approve; Zertifikat; SCEP-Client
    Bitte bewerten Sie dieses Dokument! Dieses Dokument hat mir geholfen Dieses Dokument hat mir nicht geholfen