We’re one of the best professional IT outsourcing companies in Thailand. Let’s work together

วิธีการแก้ปัญหา Certificate Expired ของ AP เมื่อนำมา Join กับ WLC C9800

Home เรื่องวิธีการแก้ปัญหา Certificate Expired ของ AP เมื่อนำมา Join กับ WLC C9800
วิธีการแก้ปัญหา Certificate Expired ของ AP เมื่อนำมา Join กับ WLC C9800

ในช่วงที่ผ่านมา ทางทีมงานได้มีโอกาสในการนำ Access Point ซีรี่ย์เก่า (Cisco Aironet 1800) นำมา Join กับ WLC 9800 เพื่อใช้งาน แต่เมื่อ config เสร็จเรียบร้อยแล้ว AP ไม่ Join กับ Controller และมี Error ปรากฏในหน้า WLC ว่า “Certificate Validation failed” โดยปัญหาที่เกิดคือ MIC / SUDI Certificate ที่ติดมากับ Access Point หมดอายุ เลยทำให้ DTLS กับ WLC ไม่ผ่าน

โดยวิธีแก้ไขคือทำการ configure WLC ให้ทำการ อนุญาต Certificate ที่หมดอายุ ที่ใช้ในการทำ DTLS เพื่อให้ AP สามารถ Join WLC ได้นั่นเองครับ

แต่… ก่อนอื่นต้องเข้าใจว่า AP Join WLC อย่างไร

เวลาที่ Cisco AP จะ Join เข้า Cisco Catalyst 9800 WLC ไม่ได้เป็นแค่การส่ง IP หา Controller แล้ว Join ได้ทันที แต่จะมีขั้นตอนการยืนยันตัวตนระหว่าง AP กับ WLC ด้วย

โดย AP และ WLC จะต้องสร้าง Secure Tunnel ระหว่างกัน ซึ่งบน Cisco Wireless จะเกี่ยวข้องกับ DTLS หรือ Datagram Transport Layer Security

DTLS ทำหน้าที่คล้าย ๆ TLS ที่ใช้กับ HTTPS คือช่วยเข้ารหัสและตรวจสอบความน่าเชื่อถือของปลายทาง เพียงแต่ DTLS ทำงานบน UDP

ดังนั้น ก่อนที่ AP จะคุยกับ WLC ได้สมบูรณ์ AP ต้องผ่านการตรวจสอบ Certificate ก่อน

โดย Error ที่ปรากฏ จะเห็นประมาณดังรูป

โดยวิธีที่จะใช้แก้ไข คือทำการ configure ให้ WLC อนุญาตให้ Certificate ที่ Issues โดย Cisco เอง เมื่อนำมา Join WLC ให้ WLC อนุญาตให้ Join ได้ แม้ว่า Certificate จะหมดอายุ

1. สร้าง Certificate Map เพื่อบอกว่า Certificate แบบไหนที่เราต้องการ match

WLC#configure terminal 
WLC(config)#crypto pki certificate map map1 1 // สร้าง certificate map ชื่อ map1 และ entry ลำดับที่ 1
WLC(config)#issuer-name co Cisco Manufacturing CA // ให้ match Certificate ที่มี Issuer Name มีคำว่า Cisco Manufacturing CA

WLC(config)#crypto pki certificate map map1 2
WLC(config)issuer-name co act2 sudi ca // ให้ match Certificate ที่มี Issuer Name มีคำว่า act2 sudi ca

2. เอา Map นั้นไปผูกกับ Trustpool Policy เพื่อบอกว่า ถ้าเจอ Certificate ที่ match map นี้ ถึงแม้หมดอายุ ก็ให้ยอมรับได้

WLC#configure terminal
WLC(config)#crypto pki trustpool policy
WLC(config)#match certificate map1 allow expired-certificate

เมื่อ Configure WLC เรียบร้อย ตัว AP ของเรา ก็จะสามารถ Join WLC ได้เรียบร้อยครับ

หากใครที่นำ Access Point รุ่นเก่าๆ มาใช้กับ WLC รุ่นใหม่ๆที่รองรับ แล้วเจอปัญหาเดียวกัน สามารถทำตามได้ง่ายๆเลยครับผม ขอบคุณครับ

Tags:
Share:

Recent News

Categories