・GUI やサービス、kubernetes pods が突然ダウンする。
・RCA や Consent Token の生成がエラーとなる。
・CLI から magctl コマンド等を実行すると CERTIFICATE_VERIFY_FAILED,  Failed to establish a new connection エラーが表示される。
例：CERTIFICATE_VERIFY_FAILED

$ magctl service logs keepalived
WARNING:urllib3.connectionpool:Retrying (Retry(total=0, connect=None, read=None, redirect=None, status=None)) 
after connection broken by 'SSLError(SSLError(1, u'[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:727)'),)':

例：Failed to establish a new connection

$ magctl api routes
ERROR: Unable to connect to url : https://kong-frontend.maglev-system.svc.cluster.local:443 Error:
HTTPSConnectionPool(host='kong-frontend.maglev-system.svc.cluster.local', port=443):
Max retries exceeded with url: /api/system/v1/auth/login (Caused by NewConnectionError('<urllib3.connection.VerifiedHTTPSConnection object at 0x7f3e57669090>:
Failed to establish a new connection: [Errno 111] Connection refused',))

etcd PKI 証明書が期限切れとなったためです。本事象は下記の Field Notice として公開されています。

Field Notice: FN74065 - Cisco DNA Center: etcd PKI Certificate Activation Failure Disables User Interface and Causes Other Errors - Software Upgrade Recommended

自動更新される証明書がアクティブ化されない、という不具合です。
更新された証明書ではなく、古い証明書を有効のままとしているため、古い証明書の有効期限が切れることで当事象が発生します。
当証明書は Pod, Node 間のデータ通信で使用されているため、サービスが正常に動作しなくなります。

対策としては上記 URL に記載の下記いずれかの対応を実施ください。

- CSCwe15923 修正スクリプトの手順
- ホットフィックスのインストール手順
- 修正バージョンへのアップグレード

既に事象が発生している場合は、バージョン毎に応じて下記の復旧手順を実施ください。

Version 2.3.2.X, 2.3.3.X（Bash アクセスに Consent Token が不要なバージョン）

Applying the workaround to Cisco DNA Center Affected by Field Notice FN74065

Version 2.3.4.X, 2.3.5.X（Bash アクセスに Consent Token が必要なバージョン）

全ノードを同時に再起動（Power Cycle the Appliance）してください。
証明書の期限切れによる影響で Consent Token は正常に生成することが出来ないため、「Applying the workaround to Cisco DNA Center Affected by Field Notice FN74065」の手順は実施できないためです。

補足：DR クラスタを構成している場合は、バージョン毎に応じた上記手順を実施する前に、DR を停止（Pause Your Disaster Recovery System）させてください。復旧手順実施後、DR を再開（Rejoin Your System）してください。