Cisco 무선 컨트롤러 인증서 만료 장애 원인과 해결 방법

Cisco 무선 컨트롤러 인증서 만료 장애 원인과 해결 방법

구형 AireOS WLC 10년 인증서 만료 이슈부터 실제 현장 대응 방법까지

들어가며

Cisco 무선 네트워크를 운영하다 보면 어느 날 갑자기 AP가 컨트롤러에 Join되지 않거나, 신규 AP 설치 후 CAPWAP 연결이 실패하는 장애를 경험할 수 있다.

대부분의 엔지니어들은 DHCP, DNS, VLAN, ACL, 방화벽 정책 등을 먼저 확인하지만 의외로 원인이 되는 경우가 있다.

바로 Cisco 무선 컨트롤러(WLC) 및 AP 인증서 만료 문제이다.

특히 최근에는 2014년~2016년경 구축된 무선 네트워크들이 10년 이상 운영되면서 인증서 만료 이슈가 급증하고 있다.

실제 현장에서는 다음과 같은 증상이 발생한다.

AP가 WLC에 Join되지 않음

신규 AP 등록 실패

CAPWAP 연결 실패

DTLS Handshake 실패

Guest Portal 접속 오류

HTTPS 인증서 경고

 

특히 구형 AireOS 기반 WLC 환경에서는 AP에 내장된 MIC 인증서가 만료되면서 장애가 발생하는 사례가 많다.

이번 글에서는 Cisco WLC 인증서의 종류부터 실제 장애 사례, 인증서 만료 확인 방법, 시간 변경을 통한 임시 복구, Cert Expiry Ignore 기능, 근본적인 해결 방안까지 자세히 알아보겠다.

Cisco 무선 컨트롤러 인증서 만료 장애 조치

---

Cisco WLC 인증서란?

Cisco 무선 네트워크는 다양한 인증서를 사용한다.

대표적으로 다음과 같은 인증서가 존재한다.

인증서 종류용도

MIC	AP 제조 시 설치되는 인증서
SSC	자체 생성 인증서
Web Admin Certificate	WLC HTTPS 접속
Web Authentication Certificate	게스트 인증
Trustpoint Certificate	PKI 인증
CAPWAP Certificate	AP Join 인증

이 중 가장 문제가 많이 발생하는 것은 AP 제조 시 설치되는 MIC 인증서이다.

---

MIC 인증서란?

MIC(Manufacturing Installed Certificate)는 Cisco AP가 공장에서 출고될 때 내장되는 인증서이다.

AP가 WLC에 Join할 때 다음 과정을 거친다.

AP Boot

↓

WLC Discovery

↓

CAPWAP Discovery

↓

DTLS Handshake

↓

인증서 검증

↓

Join 완료

 

이 과정에서 AP 인증서가 만료되면 DTLS 인증에 실패하면서 Join이 거부될 수 있다.

---

왜 최근 들어 인증서 만료 장애가 많아졌을까?

Cisco AP의 MIC 인증서는 일반적으로 10년 유효기간을 가진다.

예를 들어

AP 제조일 : 2014년

인증서 만료일 : 2024년

 

또는

AP 제조일 : 2015년

인증서 만료일 : 2025년

 

처럼 설정되어 있다.

과거에는 문제가 없었지만 구축 후 10년이 지나면서 인증서 만료 장비가 급격히 증가하고 있다.

특히 다음 AP 모델에서 많이 발생한다.

• Cisco Aironet 2702
• Cisco Aironet 3702
• Cisco Aironet 2802
• Cisco Aironet 3802
• Cisco AP1832
• Cisco AP1852

그리고 다음 WLC 환경에서 자주 발견된다.

• Cisco 2504 WLC
• Cisco 3504 WLC
• Cisco 5508 WLC
• Cisco 5520 WLC

---

실제 장애 증상

현장에서 가장 많이 접하는 사례를 살펴보자.

사례 1 : 신규 AP 등록 실패

기존 AP는 정상 운영 중이다.

그러나 신규 AP를 추가하면 Join이 실패한다.

확인 결과

CAPWAP Discovery 성공

CAPWAP Join 실패

 

상태를 보인다.

---

사례 2 : AP 재부팅 후 Join 실패

평소에는 정상 운영 중이던 AP가 전원 장애로 재부팅된 후 Join되지 않는다.

로그를 확인하면

DTLS Connection Failed

 

메시지가 반복된다.

---

사례 3 : WLC 재부팅 후 무선 서비스 장애

WLC를 재부팅한 이후 일부 AP가 Join하지 못한다.

네트워크는 정상이다.

DHCP도 정상이다.

하지만 인증서 검증 단계에서 실패한다.

---

인증서 만료 여부 확인 방법

WLC 인증서 확인

AireOS 기준

 

show certificate all

 

---

Catalyst 9800 기준

 

show crypto pki certificates

 

---

출력 예시

Validity Date

Not Before

Not After

 

항목을 확인한다.

---

AP 인증서 확인

 

show ap certificate all

 

또는

 

show ap config general AP-NAME

 

---

인증서 만료일 확인 가능

---

AP Join 로그 확인 방법

AireOS

 

debug capwap events enable

 

 

debug pm pki enable

 

---

Catalyst 9800

 

debug wireless mac AP-MAC

 

---

대표적인 오류 메시지

Certificate Expired

 

DTLS Handshake Failed

 

PKI Validation Failed

 

Join Request Rejected

 

---

시간을 변경하면 왜 AP가 붙을까?

실제 현장에서 가장 많이 사용하는 긴급 조치 방법이다.

예를 들어

현재 날짜

2026-06-24

 

---

인증서 만료일

2025-12-31

 

인 경우

WLC는 인증서를 만료 상태로 판단한다.

---

그러나 시간을

2024-06-24

 

로 변경하면

인증서가 유효한 상태로 인식된다.

결과적으로

AP Join 성공

 

하는 경우가 있다.

---

시간 변경 방법

AireOS

 

config time manual 06/24/2024 12:00:00

 

---

NTP 비활성화

 

config ntp disable

 

---

현재 시간 확인

 

show time

 

---

시간 변경의 문제점

이 방법은 긴급 복구용으로만 사용해야 한다.

다음과 같은 부작용이 발생한다.

로그 분석 불가

이벤트 시간 오류

 

발생

---

802.1X 인증 실패

RADIUS 인증 오류

 

가능

---

Guest Portal 인증서 오류

HTTPS 인증 실패 가능

---

모니터링 시스템 오류

PRTG

Zabbix

SolarWinds

등과 시간 불일치

---

따라서 운영 환경에서 장기적으로 사용하는 것은 권장되지 않는다.

---

Cert Expiry Ignore 기능

Cisco는 인증서 만료 문제 해결을 위해 일부 버전에서 기능을 제공한다.

MIC 인증서 무시

 

config ap cert-expiry-ignore mic enable

 

---

SSC 인증서 무시

 

config ap cert-expiry-ignore ssc enable

 

---

설정 확인

 

show ap cert-expiry-ignore

 

---

적용 시

만료된 MIC 인증서

만료된 SSC 인증서

 

를 가진 AP도 Join 가능하다.

---

Cisco에서 권장하는 해결 방법

가장 권장되는 방법은 펌웨어 업그레이드이다.

다음 버전들이 대표적이다.

AireOS 8.5 MR

AireOS 8.10 MR

IOS-XE 17.x

 

일부 버전에서는 만료 인증서 처리 로직이 개선되었다.

---

업그레이드 전 확인

 

show sysinfo

 

---

현재 버전 확인 후 Cisco 권장 릴리즈 적용

---

실제 현장 사례

한 제조업체에서 Cisco 5508 WLC와 Aironet 2702 AP를 운영하고 있었다.

어느 날 AP 교체 작업 후 신규 AP가 Join되지 않았다.

DHCP 정상

DNS 정상

VLAN 정상

방화벽 정책 정상

모든 항목이 정상으로 확인되었다.

그러나 로그 분석 결과

Certificate Expired

 

메시지가 반복되었다.

긴급 조치로 WLC 시간을 2017년으로 변경하자 AP가 즉시 Join되었다.

이후 유지보수 시간에 WLC를 최신 권장 버전으로 업그레이드하고

 

config ap cert-expiry-ignore mic enable

 

기능을 적용하여 근본적으로 문제를 해결하였다.

---

운영 시 권장 점검 사항

월 1회 인증서 점검

 

show certificate all

 

---

AP 인증서 점검

 

show ap certificate all

 

---

NTP 상태 점검

 

show ntp status

 

---

AP Join 로그 점검

 

debug capwap events enable

 

---

펌웨어 권장 버전 유지

정기 업그레이드 수행

---

구축 후 체크리스트

□ WLC 인증서 만료일 확인

□ AP 인증서 만료일 확인

□ NTP 동기화 확인

□ 현재 시간 확인

□ AP Join 상태 확인

□ CAPWAP 상태 확인

□ DTLS 오류 확인

□ Cert Expiry Ignore 설정 여부 확인

□ 펌웨어 버전 확인

□ 백업 수행

□ 장애 대응 절차 문서화

 

---

마무리

Cisco 무선 컨트롤러 인증서 만료 장애는 단순히 HTTPS 접속 경고 수준의 문제가 아니라 AP Join 실패와 무선 서비스 중단으로 이어질 수 있는 치명적인 장애이다.

특히 2014년~2016년경 구축된 AireOS 기반 무선 환경에서는 AP MIC 인증서의 10년 만료 시점이 도래하면서 관련 장애가 급격히 증가하고 있다.

실무에서는 먼저 WLC 시간과 NTP 상태를 확인하고, AP 및 WLC 인증서 만료 여부를 점검해야 한다. 긴급 상황에서는 시간 변경을 통해 임시 복구할 수 있지만 이는 어디까지나 응급조치이며, 장기적으로는 Cisco 권장 버전 업그레이드와 config ap cert-expiry-ignore mic enable 기능 적용을 검토하는 것이 바람직하다.

무선 장애가 발생했을 때 DHCP, DNS, VLAN만 확인할 것이 아니라 인증서 만료 여부도 반드시 점검해야 예상치 못한 장애를 빠르게 해결할 수 있다.