Switch を ACI Fabric に配線して接続した上で、Application Policy Infrastructure Controller (APIC) GUI より Commission を実行しても、 その Switch の状態が Inactive のままで ACI Fabric に Join できない問題が報告されています。
その際に、Switch の policyelem のログ (/var/sysmgr/tmp_logs/dme_logs/svc_ifc_policyelem.log) を確認すると、 下記のログが出力されており、証明書が無効であるため、Fabric に Join するための SSL 通信ができないことが分かります。 さらに、ログの時刻は現在の時刻ではなく、2000 年 1 月 1 日になっています。
12827||2000-01-01T04:39:18.591950367+00:00||crypto||DBG4||co=ifm||Secondary Cert Check Failed: certificate is not yet valid||../dme/common/src/ifm/./PeerVerificationUtils.cc||441 12827||2000-01-01T04:39:18.591971780+00:00||crypto||ERROR||co=ifm||SSL Default Peer Validation failed already - REJECTING IFM SSL PEER CONNECTION||../dme/common/src/ifm/./PeerVerificationUtils.cc||482
また、Switch のシステム時刻 (show system uptime) を見ても、同じように、2000 年 1 月 1 日になっていることが分かります。
show system uptime System start time: Sat Jan 1 05:34:59 2000 System uptime: 0 days, 11 hours, 57 minutes, 10 seconds Kernel uptime: 0 days, 12 hours, 1 minutes, 46 seconds
一方 Switch が所有している証明書の有効期間の開始日は、2000 年 1 月 1 日 の時間より後なので、 現時刻を "2000 年 1 月 1 日" と認識している Switch システムは証明書がまだ有効期間になっていないと判断し、 証明書が無効であると判断します。証明書の有効期間は下記のコマンドで確認できます。 この例では、証明書の有効期間の開始日は 2022 年 8 月 16 日 となっています。
(none)# openssl asn1parse -in /securedata/ssl/server.crt <省略> 101:d=3 hl=2 l= 13 prim: UTCTIME :220816115215Z 116:d=3 hl=2 l= 13 prim: UTCTIME :290514202542Z
証明書が無効であることから、その証明書を用いて SSL 接続ができず、 Fabric への Join が失敗してしまい、その Switch が Inactive のままとなります。
|