受影响的产品

• a. 此问题会影响所有运行 IOS 的轻型接入点 - 这些包括：802.11ac Wave 1 AP（IW3702/3700/2700/1700/1570 系列）和更早的 AP，包括 700/1530/1550/3600/2600/1600/3500/AP802 /AP803 系列。受影响的轻量级 IOS 映像是从 2012 年 12 月到 2022 年 11 月构建的。AireOS、Catalyst 9800 系列和融合接入控制器受到影响。运行 AP-COS 的接入点（802.11ac Wave 2、Wi-Fi 6、Wi-Fi 6E 接入点）不受影响，处于自主模式的 IOS 接入点也不受影响。

问题

根本原因

捆绑在 AP IOS 映像中的映像签名证书于 2012 年 12 月 4 日颁发，并于 2022 年 12 月 4 日到期。IOS AP 使用此证书来验证从 WLC 下载的映像，然后再在 AP 上安装软件。因此，在 2022 年 12 月 4 日之后，当 AP 由于软件升级/降级或由于在运行不同版本的 WLC 之间移动而下载代码时，AP 将无法验证映像并将无限期地保持在下载映像循环中。所有 AireOS 和 IOS-XE 版本都会出现此问题。

症状

要验证您是否遇到此问题，请首先检查 WLC 是否存在卡在下载状态的 AP。然后，为了确定问题，ssh、telnet 或console进入受影响的 AP 并查看它们的日志（或在您的系统日志服务器上查找 AP 日志。）

在 AireOS WLC 上

在 WLC 上，show ap image status (AireOS 8.10) 将显示受影响的 AP 处于“Downloading”状态。

在 8.5 中，使用show ap image all将在“Downloading”中显示非零数量的 AP。

(AireOS WLC-8.5) >show ap image all

Total number of APs.............................. 1
Number of APs
        Initiated....................................... 0
        Downloading..................................... 1
        Predownloading.................................. 0
        Completed predownloading........................ 0
        Not Supported................................... 0
        Failed to Predownload........................... 0

                                                 Predownload     Predownload                                  Flexconnect
AP Name            Primary Image  Backup Image   Status          Version        Next Retry Time  Retry Count  Predownload
------------------ -------------- -------------- --------------- -------------- ---------------- ------------ --------------
AP1700             8.5.182.0      0.0.0.0        None            None           NA               NA

(AireOS WLC-8.10) >show ap image status 
Total number of APs.............................. X
Total AP's Downloading........................... 1
AP Name            Primary Image  Download Status
------------------ -------------- ----------------
CAP3702E.4CD4      17.3.6.76      Downloading 

 在 IOS-XE C9800 WLC 上

C9800#show ap summar

9800-L#show ap summary

AP Name                            Slots    AP Model  Ethernet MAC    Radio MAC       Location                          Country     IP Address                                 State
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------                   
AP2702E                              2      2702E     0081.c4fb.2e74  843d.c673.10d0  default location                              192.168.202.105                            Downloading

遇到该问题AP日志会出现类似如下错误：

在 SHA-1 AP（2014 年年中之前制造）上：

*Dec 6 21:35:24.259: Using SHA-1 signed certificate for image signing validation.
*Dec 6 21:35:24.327: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:37:36 UTC Dec 4 2022
*Dec 6 21:35:24.327: Image signing certificate validation failed (1A).
*Dec 6 21:35:24.327: Failed to validate signature
*Dec 6 21:35:24.327: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ9/final_hash)
*Dec 6 21:35:24.327: AP image integrity check FAILED

 在 SHA-2 AP（2014 年年中之后制造）上：

*Dec 6 08:47:20.159: Using SHA-2 signed certificate for image signing validation. 
*Dec 6 08:47:20.223: DTLS_CLIENT_ERROR: ../capwap/base_capwap/dtls/base_capwap_dtls_record.c:169 Pkt too old last_seq_num : 11116,Received sequence num: 1 distance: -11115
*Dec 6 08:47:20.227: %PKI-3-CERTIFICATE_INVALID_EXPIRED: Certificate chain validation has failed. The certificate (SN: XX) has expired. Validity period ended on 21:43:46 UTC Dec 4 2022 
*Dec 6 08:47:20.227: Image signing certificate validation failed (1A).
*Dec 6 08:47:20.231: Failed to validate signature 
*Dec 6 08:47:20.231: Digital Signature Failed Validation (flash:/update/ap3g2-k9w8-mx.153-3.JPJ7c/final_hash)
*Dec 6 08:47:20.231: AP image integrity check FAILED

解决方法

如果您没有运行修复软件，请按照以下步骤允许 IOS AP 加入。

1. 禁用 NTP，以防止控制器自动将其时间向前设置。

   AireOS:
   (AireOS WLC)>show time
   
   make a note of all configured NTP servers, and delete each one:
   
   (AireOS WLC)>config time ntp delete <INDEX_Number>
   
   IOS-XE:
   C9800#show run | i ntp 
   ntp server ip <NTP_SERVER_IP1>
   C9800#config terminal  
   (config)#no ntp server ip <NTP_SERVER_IP1> ! for each configured NTP server

2. 将 WLC 上的日期更改为 2022 年 12 月 4 日之前但不能早于 2022 年 11 月 1 日的日期，因为这可能会使控制器或更新的 AP 中的证书失效。 

   (AireOS WLC)> config time manual 12/02/22 00:00:00
   
   C9800#clock set 00:00:00 2 Dec 2022

3. 验证 WLC 上的时间是否已更改

   (AireOS WLC)> show time
   Time............................................. Fri Dec  2 00:00:02 2022
   
   C9800#show clock
   00:00:02.573 <TIMEZONE> Fri Dec 2 2022

4. 等待所有 AP 使用新映像进入注册状态。            
   内容透露标签

   注意：在某些情况下，更改日期后可能需要重新启动 AP 才能加入 AP。但请务必等待至少 30 分钟以允许 AP 在重新启动 AP 之前重新加入
5. 再次启用NTP

   (AireOS WLC)>config time ntp server 1 <NTP_SERVER_IP1>
   
   C9800#configure terminal
   (config)#ntp server ip <NTP_SERVER_IP1>

6. 保存配置

   (AireOS WLC)>save config
   Are you sure you want to save? (y/n) y
   
   C9800#write memory

7. 重新验证 WLC 上的时钟

   (AireOS WLC)>show time
   C9800# show clock

升级到修复软件

在 AireOS WLC 上

1. 如果您有任何 AP 卡在下载中，请将控制器时间调回，以便 AP 可以完成下载并在升级到软件之前进入注册状态。

   1. 有关设置时间倒退的详细信息，请参阅上面的解决方法部分

   2. 如果出于操作原因，您无法将时间调回，则阻止受影响的 IOS AP 尝试加入控制器，例如通过关闭其交换机端口或配置 ACL 来阻止 CAPWAP。
      

2. 现在没有 AP 处于下载状态，请确保 WLC 的时间设置为当前时间（重新启用 NTP）。
   
3. 在 AireOS WLC 上安装修复软件（8.10.183.0 或更高版本；或者，如果无法从 8.5 升级，则使用 8.5.182.7，如果使用 8.5 主线，或 8.5.182.105，用于 8.5 IRCM。）
   
4. （可选）在重新启动之前，将修复软件预下载到加入的 AP。
   
5. 重新启动 WLC。
6. 如果关闭 AP 交换机端口或阻止 CAPWAP，请移除阻止以允许 IOS AP 重新加入和升级。 

C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.SPA.bin activate commit

C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.CSCwd83653  .SPA.apsp.bin activate commit

C9800#install add file bootflash:/C9800-L-universalk9_wlc.17.03.06.CSCwd40096   .SPA.apsp.bin activate commit

Fixed Software

For AireOS

• 8.10

   8540: https://software.cisco.com/download/home/286284728/type/280926587/release/8.10.183.0

   5520: https://software.cisco.com/download/home/286284738/type/280926587/release/8.10.183.0

   3504: https://software.cisco.com/download/home/286312601/type/280926587/release/8.10.183.0

   vWLC: https://software.cisco.com/download/home/284464214/type/280926587/release/8.10.183.0

• 8.5 (hidden posts)

   8.5.182.7 (8.5 mainline): https://software.cisco.com/download/specialrelease/8f166c6d88b9f77aabb63f78affa9749. 

   8.5.182.105 (8.5 IRCM): https://software.cisco.com/download/specialrelease/bc334964055fbd9440834f008e5aca34. 

For IOS-XE 9800 WLC

• 17.3.6: 17.3.6 APSP5 via CSCwd83653.

    9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.3.6

    9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.3.6

    9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.3.6

    9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.3.6

• 17.6.4: 17.6.4 APSP1 (for IW3702) via CSCwd87305

    9800-40: https://software.cisco.com/download/home/286316412/type/286325254/release/17.6.4

    9800-80: https://software.cisco.com/download/home/286321396/type/286325254/release/17.6.4

    9800-CL: https://software.cisco.com/download/home/286322605/type/286325254/release/17.6.4

    9800-L: https://software.cisco.com/download/home/286323430/type/286325254/release/17.6.4