2024年4月25日 (初版)
TAC SR Collection |
主な問題 |
IOS-XR で動作するルータにおいて Smart license の登録を行う際に、validation.identrust.com から CRL のダウンロードに失敗する事象が報告されています。IPv6 による疎通性がある場合にはこの問題は発生しません。 CRL のダウンロードに失敗した場合には以下のようなメッセージが出力されます。
http_client[173]: %SECURITY-XR_SSL-3-CERT_VERIFY_ERR_2_PARAM : SSL certificate verify error: Error in fetching the issuer certificate/CRL 'Crypto Engine' detected the 'warning' condition 'CRL Not current'
|
原因
|
Smart license 登録時にはデフォルトで validation.identrust.com から CRL の取得を行います。 この URL に対するアドレス解決の結果 IPv6 アドレスが返されて通信を行うため IPv6 の疎通性を持たない場合には CRL fetch に失敗します。本来であれば IPv6 でのアクセスに失敗した場合には IPv4 での retry を行うべきですが、この動作が適切に行われません。 結果として smart license の登録にも失敗します。
この問題は CSCwh55930 として報告されています。
CSCwh55930: Not able to fetch CRL from validation.identrust.com as part of smart licensing
|
解決策 |
この問題の回避策として以下の 2 つの方法が報告されています。 1. validation.identrust.com に到達可能な proxy server を用意し、http-proxy を設定する
crypto ca http-proxy <address> port <port>
2. IPv6 の到達性を確立するように IPv6 の設定を行う。
問題の解決には CSCwh55930 の修正されたバージョンを使用する必要があります。
|
備考
本不具合は、Bug Search Tool でも確認できます。
各製品の TAC SR Collection の一覧は、よくある質問と解決方法 (TAC SR Collection) から確認できます。