Cisco WLC(Wireless Controller) - AP(Access point) 인증서 만료 조치방법(certificates expired), 공장초기화(factory-default)

회사 특정 구역에서 PDA 근무자가 무선신호가 얼마전부터 잘 안잡힌다고 점검요청이 왔다.

사용년수가 많이 지난만큼 종종 발생했던 무선 AP가 고장 또는 오작동을 일으켰다고 판단하여 

일단 현장을 방문했다. 

현장에 가보니 AP는 켜져있었고 PING 도 되는 상황이였다.

하지만 무선 컨트롤러에서는 JOIN 되지 않았다.

 

해당 AP를 회수해 콘솔을 물려보았다.

IP 설정이나 컨트롤러 IP도 제대로 들어가 있었다.

우선 공장 초기화 및 기존 CONFIG 를 삭제하는 작업을 진행하였다.

Cisco AP(Access-point) 공장초기화(factory-defaults)

1. 전원 케이블 제거

2. mode 버튼을 볼펜이나 클립등으로 누른 상태에서 전원을 인가한다.

cisco 1602 ap mode button

3. 전원인 인가된 후 10초 정도 Mode 버튼을 누르고 있으면 LED RED로 색깔이 바뀌면 Mode버튼에서 손을 떼주면 된다.

4. 부팅이 진행되고 초기화가 완료되었다.

5. 기존 설정값도 삭제 진행한다.

1. dir flash:

2. delete flash:private-multiple-fs
3. delete capwap-saved-config
4. delete capwap-saved-config-bak
5. reset
리셋 후 Username : Cisco Password : Cisco 로  접속하면 된다.
재로그인 하였을시 ap 의 호스트 이름은 Mac 주소여야 한다.

재접속후
show capwap ip config 명령어를 통해 기존 ip 정보가 남아있는지 확인한다.
또한 완벽한 기존 정보 제거를 위해 아래와 같은 명령어 입력 후 reset을 진행한다.
 
clear capwap private-config 
clear lwapp private-config

리부팅 후 
1. capwap ap ip address 10.10.10.1 255.255.255.0  ##AP IP 설정
2. capwap ap ip default-gateway 10.10.10.254  ## AP 게이트웨이 설정
3. capwap ap controller ip address 10.10.10.100  ## 컨트롤러 ip 설정

위 세가지를 입력하면 컨트롤러와 조인을 시도하여 정상적으로 join이 될것이다.

위의 절차를 진행하였음에도 불구하고 컨트롤러와의 join이 되지 않았다.

ap에서 컨트롤러 join 진행과정을 콘솔로 보다보니 pki-3-certificate-invalid_expired : certificate chain validation has failed 라는 log 가 확인되었다.

일단 아래명령어를 통해 AP 의 인증서 상태를 확인한다.

show crypto pki certificates

ap인증서 상태- show crypto pki certificates 

AP의 인증서들은 Available 상태이다.

그럼 아래의 명령어를 통해 컨트롤러의 인증서 상태를 확인한다.

show certificate all

확인결과 ap에서 발생한 log 와 매칭하는 인증서가 보인다.

2022 jan 26th 22:19:27 만료 되었다.

AP device certificate expired

이 문제를 조치하기전 AP - 컨트롤러 Join 시 인증서에 대해서 알아보자

ap- controller join 

Cisco 에서 출고되는 모든 WLC와 AP에는 기기 인증서가 설치된다.

이 인증서는 WLC와 WLC 가입을 원하는 AP간에 인증을 수행하는데 사용된다.

상호 인증 없이는 WLC와 AP는 CAPWAP 제어 트래픽을 암호화하기 위한 보안 DTLS 터널을 구축할수 없으며,

AP가 WLC에 JOIN 하지 못한다.

또한 WLC와 AP에 대한 장치 인증서는 제조일로부터 10년의 유효기간을 가진다.

 

해결방법

1. WLC 의 NTP를 끄고 수동으로 인증서가 유효한 시간과 날짜로 설정한다.

AP는 WLC에 JOIN 하려는 순간 WLC에서 시간을 받아가기 때문에 AP는 따로 설정할 필요가 없다.

(Cisco Controller)> config time ntp delete 1 #ntp 삭제
(Cisco Controller)> config time manual 09/30/18 11:30:00 #인증서가 유효한 과거시간으로 설정

2. 장치 인증서 완전히 해제하여 AP를 WLC에 JOIN

(Cisco Controller)> config ap cert-expiry-ignore mic enable

두가지 방법으로 인증서 만료문제를 해결할수 있다.

본인은 1번의 방법 NTP를 해제하고 인증서가 유효한 시간으로 롤백하여 AP JOIN을 성공시켰다.

 

임시방법으로 AP를 JOIN 시킬수는 있으나 10년이상 사용한 AP를 계속사용한다는것은 무리가 있어보인다.

실무진의 고도화 사업 준비와 경영진의 관심 및 투자결정이 필요한 시기이다.