Cisco: SD-WAN-Zertifikate abgelaufen, jetzt updaten!

Cisco Systems hat ein Advisory veröffentlicht, in dem es seine Kunden vor einem Zertifikatsablauf von vEdge SD-WAN-Routern warnt. Betroffen sind die Modelle vEdge 1000, vEdge 2000 und vEdge 100, die von Viptela übernommen wurden. Die Geräte können bei Neuverbindungen zu den SD-WAN-Controllern keine Control-Plane-Verbindung mehr aufbauen. Der Hersteller rät betroffenen Kunden, die Geräte vor dem Update weder neu zu starten, noch SD-WAN-Richtlinien zu updaten oder Templates an die Geräte zu pushen.

Eigene Router prüfen

Die Gerätezertifikate der Komponenten liefen am 9. Mai 2023, 8:57 Uhr deutscher Zeit aus. Da die Zertifikate bei einer Verbindung zum SD-WAN Controller überprüft werden, kann man nach ihrem Ablauf keine neue Verbindung mehr zum SD-WAN-Controller aufbauen. Über den CLI-Befehl show control local-properties können Administratoren prüfen, ob ihre Router betroffen sind. Erscheint in der Zeile "certificate-validity" ein "Not valid – certificate has expired", ist das Gerät betroffen. Nach einem Neustart ohne Update bringt das Gerät die Meldung "serial-num BOARD-ID-NOT-INITIALISED".

Wer die Zertifikate nicht updatet, dem drohen in folgenden Situationen Probleme:

• Verlust der Verbindung zum vSmart
• Verlust der Verbindung zu vManage
• Port Hop
• Richtlinienänderungen
• Neuaufbau der Control-Plane Verbindung
• Schnittstellen Flaps
• Geräteneustart

Cisco stellt im Advisory einen mehrstufigen Update-Plan mit drei Szenarien bereit, die sich Kunden dringend vor einem Update durchlesen sollten. Cisco arbeitet derzeit an Updates und frischt das Advisory mit dem entsprechenden Status auf. Nicht betroffen sind gemäß Aussagen des Herstellers die Plattformen vEdge Cloud, vEdge 5000, ISR 1000 Series, ISR 4000 Series, ASR 1000 Series oder Catalyst 8000 Edge.

(jvo)