Cisco Catalyst Center (旧称: Cisco DNA Center、以降は Catalyst Center と記載) にて AURA を実行した際、下記のような kubelet 証明書の失効に関するエラーが出力される場合があります。

Check: #17:Expiry of kubelet Cert
Error:#UR01:kubelet cert failed while executing command: unable to load certificate 140313658189248:error:0909006C:PEM routines:get_name:no start line:crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERT...

※ AURA ツールに関する詳細情報は、下記を参照ください。
DNAC: Cisco DNA Center AURA ツールについて

AURA Tool では、 kubelet 証明書の有効期限確認として client-certificate-data という項目を指定して kubelet 証明書の有効期限確認を試行しますが、kubelet 証明書の内部では、証明書の有効期限を client-certificate という項目で保持しており、kubelet 証明書の有効期限確認先項目が異なっていることが原因で、このエラーが出力される場合があります。

以下の手順に従って手動で kubelet 証明書の有効期限をご確認ください。

1. Catalyst Center へ maglev ユーザーにて ssh ログインします。
2. ログイン後、bash モードへ遷移します。( バージョン 2.3.3.x 以降の場合 )

_shell

3. 以下コマンドを実行し、証明書の期限 ( notAfter の部分 ) を確認します。

sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet.crt

※ 以下はコマンド実行時の出力サンプルです。

$ sudo openssl x509 -noout -dates -in /var/lib/kubelet/pki/kubelet.crt
notBefore=Jun  2 01:35:21 2024 GMT
notAfter=Jun  2 01:35:21 2025 GMT　 <<< この部分を確認します

kubelet 証明書がまだ有効期限内であることが確認できた場合、このエラーは Catalyst Center のバージョンアップに影響するものではありませんので、無視して Catalyst Center のバージョンアップを進めても問題ありません。
万一、確認した日付が確認実施日よりも過去日付となっていた場合は、下記コマンドを実行後、再度上記確認手順の「 3. 」を実行し、証明書の有効期限が未来日付のものへ更新されていることを確認してください。
下記コマンドにて kubelet の再起動を実施すると 5 分程 GUI へアクセス不可となりますが、その後復旧します。
また、GUI 復旧後に Application Health にて Automation と Assurance の複数サービスの Health が不良と通知される場合がありますが、そちらも 10 分程で復旧します。

sudo rm /var/lib/kubelet/pki/*
sudo systemctl restart kubelet