2022-03-17 08:23 PM 2022-06-03 04:22 PM 更新
RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %LICENSE-SMART_LIC-3-COMM_FAILED : Communications failure with the Cisco Smart Software Manager (CSSM) : Fail to send out Call Home HTTP message RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %LICENSE-SMART_LIC-3-AGENT_REG_FAILED : Smart Agent for Licensing Registration with the Cisco Smart Software Manager (CSSM) failed: Fail to send out Call Home HTTP message
7.0.1 から 7.3.1 までのバージョンでは、CSCvx87275 の修正を含んだ SMU が適用されていない場合、
スマートライセンスの syslog には、以下の例のように "LICENSE-" が含まれません。
RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %SMART_LIC-3-COMM_FAILED : Communications failure with the Cisco Smart Software Manager (CSSM) : Fail to send out Call Home HTTP message RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %SMART_LIC-3-AGENT_REG_FAILED : Smart Agent for Licensing Registration with the Cisco Smart Software Manager (CSSM) failed: Fail to send out Call Home HTTP message
RP/0/RP0/CPU0:Feb 22 09:57:36.246 UTC: http_client[255]: %SECURITY-XR_SSL-3-CERT_VERIFY_ERR_2_PARAM : SSL certificate verify error: Peer certificate verification failed - no trusted cert 'Crypto Engine' detected the 'warning' condition 'Invalid trustpoint or trustpoint not exist'
RP/0/RP0/CPU0:Feb 22 09:57:24.025 UTC: cepki[279]: %SECURITY-PKI-6-ERR_1_PARAM : Download failed, HTTP returned an error
Workaround の Option3 について補足をいたしますと、
crypto ca trustpool import url /tmp/pki_bundle_0.p7b
上記のコマンドは、ローカルのファイルパスを指定する際は /tmp ディレクトリしか指定できないため、 SCP などで ios.p7b を IOS-XR デバイスに転送したのち、 /tmp ディレクトリにコピーする必要があります。
以下の手順で実施してください。
! ios.p7b のファイルパスを確認。 harddisk: 配下にファイルを転送した場合のコマンドです。 # dir harddisk: Directory of harddisk: <snip> 73 -rw-r--r--. 1 117245 Mar 3 16:47 ios.p7b << ios.p7bがあることを確認 <snip> ! /harddisk: にある ios.p7b を /tmp ディレクトリにコピー # run cp /harddisk:/ios.p7b /tmp ! ios.p7b をインポート # crypto ca trustpool import url /tmp/ios.p7b ! /tmp にある ios.p7b を削除 # run rm /tmp/ios.p7b
また、上記 FN に記載されているワークアラウンドのほかに、
ターミナルから IdenTrust Commercial Root CA 1 の証明書を PEM 形式で入力して追加する方法がありますので、そちらの紹介もさせていただきたいと思います。
※こちらの手順は IOS-XR デバイスをリロードすると証明書情報が消えてしまうため、恒久対策は Field Notice に記載されている Workaround を実施してください。
1. IdenTrust Commercial Root CA 1 の PEM 形式の証明書データを入手します。
以下のサイトにあります。
https://www.identrust.com/identrust-commercial-root-ca-1
以下に同じ内容の証明書データを記載しますので適宜ご利用ください。
-----BEGIN CERTIFICATE----- MIIFYDCCA0igAwIBAgIQCgFCgAAAAUUjyES1AAAAAjANBgkqhkiG9w0BAQsFADBK MQswCQYDVQQGEwJVUzESMBAGA1UEChMJSWRlblRydXN0MScwJQYDVQQDEx5JZGVu VHJ1c3QgQ29tbWVyY2lhbCBSb290IENBIDEwHhcNMTQwMTE2MTgxMjIzWhcNMzQw MTE2MTgxMjIzWjBKMQswCQYDVQQGEwJVUzESMBAGA1UEChMJSWRlblRydXN0MScw JQYDVQQDEx5JZGVuVHJ1c3QgQ29tbWVyY2lhbCBSb290IENBIDEwggIiMA0GCSqG SIb3DQEBAQUAA4ICDwAwggIKAoICAQCnUBneP5k91DNG8W9RYYKyqU+PZ4ldhNlT 3Qwo2dfw/66VQ3KZ+bVdfIrBQuExUHTRgQ18zZshq0PirK1ehm7zCYofWjK9ouuU +ehcCuz/mNKvcbO0U59Oh++SvL3sTzIwiEsXXlfEU8L2ApeN2WIrvyQfYo3fw7gp S0l4PJNgiCL8mdo2yMKi1CxUAGc1bnO/AljwpN3lsKImesrgNqUZFvX9t++uP0D1 bVoE/c40yiTcdCMbXTMTEl3EASX2MN0CXZ/g1Ue9tOsbobtJSdifWwLziuQkkORi T0/Br4sOdBeo0XKIanoBScy0RnnGF7HamB4HWfp1IYVl3ZBWzvurpWCdxJ35UrCL vYf5jysjCiN2O/cz4ckA82n5S6LgTrx+kzmEB/dEcH7+B1rlsazRGMzyNeVJSQjK Vsk9+w8YfYs7wRPCTY/JTw436R+hDmrfYi7LNQZReSzIJTj0+kuniVyc0uMNOYZK dHzVWYfCP04MXFL0PfdSgvHqo6z9STQaKPNBiDoT7uje/5kdX7rL6B7yuVBgwDHT c+XvvqDtMwt0viAgxGds8AgDelWAf0ZOlqf0Hj7h9tgJ4TNkK2PXMl6f+cB7D3hv l7yTmvmcEpB4eoCHFddydJxVdHixuuFucAS6T6C6aMN7/zHwcz09lCqxC0EOoP5N iGVreTO01wIDAQABo0IwQDAOBgNVHQ8BAf8EBAMCAQYwDwYDVR0TAQH/BAUwAwEB /zAdBgNVHQ4EFgQU7UQZwNPwBovupHu+QucmVMiONnYwDQYJKoZIhvcNAQELBQAD ggIBAA2ukDL2pkt8RHYZYR4nKM1eVO8lvOMIkPkp165oCOGUAFjvLi5+U1KMtlwH 6oi6mYtQlNeCgN9hCQCTrQ0U5s7B8jeUeLBfnLOic7iPBZM4zY0+sLj7wM+x8uwt LRvM7Kqas6pgghstO8OEPVeKlh6cdbjTMM1gCIOQ045U8U1mwF10A0Cj7oV+wh93 nAbowacYXVKV7cndJZ5t+qntozo00Fl72u1Q8zW/7esUTTHHYPTa8Yec4kjixsU3 +wYQ+nVZZjFHKdp2mhzpgq7vmrlR94gjmmmVYjzlVYA211QC//G5Xc7UI2/YRYRK W2XviQzdFKcgyxilJbQN+QHwotL0AMh0jqEqSI5l2xPE4iUXfeu+h1sXIFRRk0pT AwvsXcoz7WL9RccvW9xYoIA55vrX/hMUpu09lEpCdNTDd1lzzY9GvlU47/rokTLq l1gEIt44w8y8bckzOmoKaT+gyOpyj4xjhiO9bTyWnpXgSUyqorkqG5w2gXjtw+hG 4iZZRHUe2XWJUc0QhJ1hYMtd+ZciTY6Y5uN/9lu7rs3KSoFrXgvzUeF0K+l+J6fZ mUlO+KWA2yUPHGNiiskzZ2s8EIPGrd6ozRaOjfAHN3Gf8qv8QfXBi+wAN10J5U6A 7/qxXDgGpRtK4dw4LTzcqx+QGtVKnO7RcGzM7vRX+Bi6hG6H -----END CERTIFICATE-----
# configure terminal (config)#crypto ca trustpoint Trustpool (config-trustp)#enrollment terminal (config-trustp)#commit (config-trustp)#exit (config)#exit
以下のコマンドを入力します。
# crypto ca authenticate Trustpool
以下のダイアログが出てきますので、1. の PEM 形式の証明書データを"-----BEGIN CERTIFICATE-----"から"-----END CERTIFICATE-----"までコピーして貼り付けます。
Enter the base 64 encoded certificate. End with a blank line or the word "quit" on a line by itself
エンターを押すと証明書の情報が出力され確認ダイアログが出てきますので、 yes と入力してください。
Serial Number : 0A:01:42:80:00:00:01:45:23:C8:44:B5:00:00:00:02 Subject: CN=IdenTrust Commercial Root CA 1,O=IdenTrust,C=US Issued By : CN=IdenTrust Commercial Root CA 1,O=IdenTrust,C=US Validity Start : 18:12:23 UTC Thu Jan 16 2014 Validity End : 18:12:23 UTC Mon Jan 16 2034 SHA1 Fingerprint: DF717EAA4AD94EC9558499602D48DE5FBCF03A25 Do you accept this certificate? [yes/no]:
4. 証明書が追加されたことの確認
以下のコマンドを入力して、IdenTrust Commercial Root CA 1 の証明書が追加されていることを確認してください
# show crypto ca trustpool
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします