annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
1258
Visites
0
Compliment
4
Réponses

LAP 1242 wan't connect to WLC 2504 - MIC Certificat Expiration

O.Informatique
Level 1
Level 1

Le LAP 1242 ne veut pas se connecter au WLC 2504 - Expiration du certificat MIC

Bonjour,

Nous avons 5 Cisco LAP 1242 G qui ne veulent pas se connecter au WLC 2504 à partir du 05/2020, j'ai fait quelques recherches et je pense que cela est dû à l'expiration du certificat des périphériques Cisco.

Ce modèle de LAP n'est plus pris en charge aujourd'hui.
Version LAP1242 = 12.4
Version WLC 2504 = 8.0.152.12

J'ai lu qu'il existe une solution de contournement :

  1. Sur WLC désactiver le contrôle de date de certificat.
  2. Sur WLC changez la date afin de respecter la période du certificat.

Q1: Existe-t-il une solution pour mettre à jour ou changer ce certificat ?
Q2: Est-il normal que lorsque l'on achète un Cisco LAP, on ne puisse l'utiliser que pendant 10 ans (durée du certificat de l'appareil) ?

Merci d'avance pour votre aide.

Meilleures salutations,
Taoufik.

Message d'origine:

Hello,

We have 5 Cisco LAP 1242 G wan't connect to the WLC 2504 from 05/2020, i make some search and i think it is due to expiration of Cisco device certificate.
This model of LAP is out of support today.

LAP1242 release = 12.4
WLC 2504 release = 8.0.152.12

I have read that exist some workaround:

1) On WLC disable certificate date check
2) On WLC change the date in order to respect the period of the certificat.

Is there a solution to update or change this certificate ?

Is it normal that when we bought a Cisco LAP, we can use it only for 10 years (duration of the device certificat) ?

Many thanks in advance for your help.

Best Regards,
Taoufik.

 

2 SOLUTIONS APPROUVÉES

Solutions approuvées

Nicolas Darchis
Cisco Employee
Cisco Employee

Bonjour,

 

C'est tout à fait correct.

Il n'est pas possible de remplacer le certificat puis qu'il s'agit d'un certificat hardware (MIC).

Il est possible par contre de configurer des LSC (locally significant Certificates) et assigner à l'AP un certificate de votre PKI. Ça ne remplacera pas le certificat MIC ni du WLC ni de l'AP, mais cela peut être utilise comme certificate pour le protocole CAPWAP et ainsi éviter le problème.

Il est faux de dire qu'on ne peut plus utiliser le matériel après 10 ans, puisque des solutions existent. Cela dit le certificate n'est plus considéré comme sûr après 10 ans et il faut soit désactiver la sécurité, soit utiliser sa propre PKI.

 

Je recommande de lire https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html en détail.

Il y a une commande sur le WLC pour désactiver la vérification du certificat dans la section :

"Workaround/Solution

Workaround for APs That Fail to Join the WLC Due to an Expired Certificate"

Voir la solution dans l'envoi d'origine

voici https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/110141-loc-sig-cert.html

 

Pour etre honnete, ce n'est pas des plus simples. Il vous faut une PKI d'entreprise avec SCEP (typiquement un Windows server qui fait root CA sans autre intermediaire). le WLC et chaque AP se voit automatiquement distribuer un certificate lors de la phase de "provisioning". Cette phase terminee, le WLC et les APs peuvent utiliser ce certificat a valeur local pour le protocol CAPWAP.

Voir la solution dans l'envoi d'origine

4 RÉPONSES 4

Nicolas Darchis
Cisco Employee
Cisco Employee

Bonjour,

 

C'est tout à fait correct.

Il n'est pas possible de remplacer le certificat puis qu'il s'agit d'un certificat hardware (MIC).

Il est possible par contre de configurer des LSC (locally significant Certificates) et assigner à l'AP un certificate de votre PKI. Ça ne remplacera pas le certificat MIC ni du WLC ni de l'AP, mais cela peut être utilise comme certificate pour le protocole CAPWAP et ainsi éviter le problème.

Il est faux de dire qu'on ne peut plus utiliser le matériel après 10 ans, puisque des solutions existent. Cela dit le certificate n'est plus considéré comme sûr après 10 ans et il faut soit désactiver la sécurité, soit utiliser sa propre PKI.

 

Je recommande de lire https://www.cisco.com/c/en/us/support/docs/field-notices/639/fn63942.html en détail.

Il y a une commande sur le WLC pour désactiver la vérification du certificat dans la section :

"Workaround/Solution

Workaround for APs That Fail to Join the WLC Due to an Expired Certificate"

Bonjour,

 

Je vous remercie pour ces réponses et précisions.

Nous avons en effet pour le moment désactivé la vérification du certificat pour pouvoir faire fonctionner les AP.

Avez-vous une procédure pour installer un nouveau certificat et l'affecter au protocole CAPWAP ?

 

Je vous remercie d'avance.

 

Cordialement,

Taoufik.

voici https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/110141-loc-sig-cert.html

 

Pour etre honnete, ce n'est pas des plus simples. Il vous faut une PKI d'entreprise avec SCEP (typiquement un Windows server qui fait root CA sans autre intermediaire). le WLC et chaque AP se voit automatiquement distribuer un certificate lors de la phase de "provisioning". Cette phase terminee, le WLC et les APs peuvent utiliser ce certificat a valeur local pour le protocol CAPWAP.

Bonjour Nicolas,

 

Je vous remercie. Nous avons déjà une PKI d'entreprise. Je vais donc regarder tout cela.

 

Cordialement,

Taoufik.

Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :