%PKI-3-CRL_FETCH_FAIL: CRL fetch for trustpoint DNAC-CA failed
                      Reason : Enrollment URL not configured.

    

通常、内部認証局 (CA-Certification Authority) によって発行された証明書には CRL (Certificate Revocation List) URL があります。セキュリティ上の推奨事項として常に CRL チェックが必要となりますが、Cisco Catalyst Center からディバイスに払い出される自己署名証明書には CRL URL がないため、CRL チェックを行った際に当該エラーメッセージが出力されます。

当該エラーメッセージが出力される場合、下記のワークアラウンドを実施することで事象の改善が見込まれます。

 

ワークアラウンド 1 (推奨) :
Cisco Catalyst Center から払い出される自己署名証明書を内部認証局 (CA) によって発行/署名される証明書に置き換えます。

証明書の更新方法は管理者ガイドまでご参照ください。

Cisco DNA Center リリース 2.3.4 管理者ガイド 

セキュリティに関する推奨事項
-証明書および秘密キーのサポート
-- Cisco DNA Center サーバー証明書の更新

ワークアラウンド 2 (Cisco Catalyst Center のバージョンは 2.3.4.x 及びそれ以降の場合) :
Cisco Catalyst Center 側にて ディバイスの CRL チェックを無効にします。

a. Cisco Catalyst Center GUI で、 [Menu] > Design > Network Settings > Security and Trust の順に選択します。
ドロップダウンリストから "Revocation - Check: None" を選択して、Save をクリックしてください。

b. Cisco Catalyst Center GUI で、 [Menu] > Provision > Inventory の順に選択します。
対象ディバイスを選択して、Actions > Telemetry > Update Telemety Settings の順に選択します。

注: チェックボックス "Force Configuration Push" をオンにした状態で Next をクリックしてください。

ワークアラウンド 3 (Cisco Catalyst Center のバージョンは 2.3.3.x 及びそれ以前の場合) :
ディバイス側にて CRL チェックを無効にします。

device#configure terminal 
device(config)#crypt pki trustpoint DNAC-CA
device(ca-trustpoint)#revocation-check none

 

注: 上記ワークアラウンド 2 と 3 について、自己署名証明書「DNAC-CA」の CRL チェックを無効にすることで特にセキュリティにリスクや悪影響を与えません。

尚、enhancement request として CSCvu47480 も登録されています。

CSCvu47480 - Cisco DNA Center should not push revocation check in the trustpoint if it is not used