思科1242 AP 证书有效期为10年，如果证书到期后，
首先，把WLC升级成ios 7.4.140或者8.0.120以上版本，
其次,在WLC上输入以下命令关闭AP证书的检测功能

config apcert-expiry-ignore {mic|ssc} enable(注意：这个命令只有IOS 7.4.140或者8.0.120以上才有的)

最后，在WLC上设置一下，让AP下载WLC的证书即可

这样AP就可以正常注册到WLC，本人亲测，欢迎转载~

LAP / WLC MIC或SSC寿命到期导致DTLS故障

描述

症状：无线接入点无法连接到无线局域网控制器。

症状1（AP的证书已过期）：

在加入失败时，WLC的msglog可能显示类似

如下的消息：

Jul 10 16：13：52.443 spam_lrad.c：6164 LWAPP-3-PAYLOAD_ERR：加入请求证书有效负载中不包含有效证书 
- AP 00：11：22：33：44：55

症状2（WLC的制造安装证书已过期）：

WLC的MIC过期后，当前加入的AP CAPWAP会话将保持建立。

但是，一旦AP需要重新建立CAPWAP连接，它将失败。

AP记录器将显示类似于以下内容的消息：

* Oct 29 18：01：56.107：％PKI-3-CERTIFICATE_INVALID_EXPIRED：证书链验证失败。

证书（SN：7E3446C40000000CBD95）已过期。有效期结束于14:38:08 UTC十月

26 2021Peer证书验证失败001A

* 10月29日18：01：56.107：DTLS_CLIENT_ERROR：../

capwap/base_capwap /capwap/base_capwap_wtp_dtls.c:496 证书验证失败！

* Oct 29 18：01：56.107：％DTLS-5-SEND_ALERT：发送致命：错误证书警报至192.168.10.10:5246

* 10月29日18：01：56.107：％DTLS-5-SEND_ALERT：发送致命：到192.168.10.10:5246

在WLC端，你只会看到这样的消息：

* osapiBsnTimer：Oct 29 11：05：04.571：＃DTLS-3-HANDSHAKE_FAILURE：openssl_dtls.c：2962
无法完成与对等体的DTLS握手192.168.202.8

条件：此症状将在设备制造日期10年后发生。

2005年7月制造了具有MIC的最早的AP（1120,1130,1230,1310系列），

因此这些AP将无法从2015年7月开始加入AireOS控制器。

这个问题在制造日期后约10年也影响WLC

对于使用由升级工具生成的自签名证书（SSCs）的AP，症状将发生在2020年1月1日。

要确定何时创建AP的MIC，请在WLC上运行此命令以查找SN：

（Cisco控制器）> show ap inventory all

库存lap1130-sw3-9

名称：“思科AP”，DESCR：“思科无线接入点”

PID：AIR-LAP1131AG-E-K9，VID：V01，

FCZ1128Q0PE 名：“Dot11Radio0”，DESCR：“802.11G无线”

PID：未知，VID：，SN：GAM112706LC

名字：“Dot11Radio1”，DESCR：“802.11a无线电”

PID：未知，VID：，SN：ALP112706LC

美联社底盘SN位于输出的第一部分，例如：PID：AIR-LAP1131AG-E-K9，VID：V01，SN：FCZ1128Q0PE

序列号格式为：“LLLYYWWSSSS”; 其中“YY”是制造年份，“WW”是制造周期。日期代码可以在序列号的4个中间数字中找到。

制造年份代码：

01 = 1997 06 = 2002 11 = 2007 16 = 2012

02 = 1998 07 = 2003 12 = 2008 17 = 2013

03 = 1999 08 = 2004 13 = 2009 18 = 2014

04 = 2000 09 = 2005 14 = 2010

05 = 2001 10 = 2006年15 = 2011

制造周代码：

1-5：1月15日至18日：4月28日至31日7月41-44：年10月

6-9：2月19日至22日：32-35五月八月45-48：十一月

10- 14：3月23 - 27日：6月36-40：9月49-52：12

示例：SN FCZ1128Q0PE的年代码为11，意味着它于2007年制造。周代码为12，意味着它在3月制造。

还可以使用Prime Infrastructure Reporting找到所有AP的SN的SN。

解决方法：

CCO for 7.0，7.4，8.x中提供了带有修订的代码

对于7.6，

您可以联系TAC获取升级代码，尽管建议转移到8.0以备将来支持在故障情况下恢复AP：

注意：此解决方法应仅用于允许已过期证书的AP加入WLC足够长时间升级软件。

如果证书已过期，请禁用NTP，然后将WLC时钟时间更改为最近更早的时间，当证书仍然有效时。如果将时钟设置得太远，较新的AP可能无法加入。一旦软件已升级，并且受影响的AP已加入，则WLC时钟应重置为有效时间。

解决方案：

思科已经发布了AireOS 7.0.252.0，并将于2015年4月发布7.4版本的重建版本，并于2015年6月发布8.0版本。

这些重建将实施新的CLI命令，以在WLC上禁用

MIC和SSC的生存期有效性检查。默认情况下，命令将被禁用，即具有过期MIC和SSC的AP将无法加入。

升级到新的重建后，使用新命令禁用

终生有效性检查，允许具有10年以上MIC或SSC的AP 加入。