AP5030DN-S 采用WAPI-证书方式认证不成功

发布时间:  2016-09-28 浏览次数:  252 下载次数:  0
问题描述

AP5030DN-S  采用WAPI-证书方式认证不成功

处理过程

STA~~~ AP5030DN-FAT-------ASU 认证server

1、查看终端上线失败原因:

<Huawei>display station online-fail-record all        

 ------------------------------------------------------------------------------

1234-5678-1114  0006-5422-8220 0/2        2005-07-27/19:14:01

                WAPI authentication times out.

2、在ASU 上查看日志信息无,在ASU侧抓包无转发信息,检查设备路由,未配置路由导致AP和ASU链路不通,排查后依旧无法认证通过;

3、在设备上查看证书导入情况为空;


4、尝试重新在AP 导入下当前的证书文件。可以尝试重新将证书文件通过FTP 采用二进制的方式重新上传至AP ,然后尝试导入。完成后通过命令:

<Huawei> display wlan wapi certificate file-name flash:/root.cer 进行查看。 

以下是案例方式。

security-profile name wapi 

  security wapi certificate

  wapi import certificate issuer format pem file-name flash:/root.cer

  wapi import certificate asu format pem file-name flash:/root.cer

  wapi import certificate ap format pem file-name flash:/123.cer

  wapi import private-key format pem file-name flash:/123.cer

5、再次查看证书导入情况,正常;


根因

因为AP设备上到ASU的路由和在设备上导入证书失败致使WAPI 的认证无法通过。

解决方案

1、通过在设备上添加到ASU 认证服务器的路由确保网络可达;

2、在设备上通过FTP的方式将证书上传至AP上,通过命令行重新导入证书;

建议与总结

因为WAPI 使用的面并不宽广,因此在使用中一定要确保设备能够正确对接对应的ASU认证服务器,以及在配置使用中要确认基本配置的正确,和证书的导入要正确导入。

END