2015 年 11 月 2 日 - 日本オリジナル版
その他のバージョン: PDFpdf | フィードバック

このドキュメントは、「Field Notice: FN - 63979 - ASR9000, CRS, and XR12000 That Run Cisco IOS-XR 5.3.0 and Earlier - Oct 17, 2015 SW Certificate Expiration - SMU Upgrade」を翻訳したものです。

また、本 Field Notice の補足情報として、「IOS-XR Field Notice - FN63979 - の補足情報」を日本の TAC エンジニアが作成しました。合わせてご利用ください。

この Field Notice は現状のままで提供され、市場性の保証を含むいっさいの保証、あるいはサービス保証を示唆するものではありません。この Field Notice での情報、あるいは、この Field Notice からのリンク先資料はお客様のリスクでのご使用をお願いいたします。シスコでは、任意の時点でこの Field Notice を変更あるいはアップデートする権利を留保いたします。

改訂履歴

リビジョン
日付
備考
14
2015 年 10 月 16 日
背景説明、問題の症状、よくある質問、
Mandatory SMU のインストール方法、お問い合わせについてを更新
1.3
2015 年 9 月 24 日
その他の情報の更新、およびよくある質問の追加
1.2
2015 年 6 月 12 日
回避策/解決方法と Mandatory SMU のインストール方法を更新
1.1
2015 年 6 月 2 日
問題の概要と Mandatory SMU のインストール方法を更新
1.0
2015 年 5 月 21 日
初版リリース

該当製品

該当製品 コメント
IOS-XR
各 IOS-XR イメージ向けの SMU リリース状況は「Mandatory SMU のインストール方法」に記載された表にてご確認ください

問題の概要

2015 年 10 月 17 日に、Cisco IOS®-XR で実装されている Code Signing Server(CSS)証明書の期限が切れます。アップグレード、またはダウングレード時に Software Maintenance Upgrade(SMU)、Package Installation Envelope(PIE)の正当性を確認するために、IOS-XR ソフトウェアはインストール(install add)時に、この CSS 証明書を使用してします。

10 月 17 日以前に使用する Pre-Expiry SMU または、以降に使用する Post-Expiry SMU で証明書を更新しなければ、10 月 17 日以降におこなわれるアップグレードまたはダウングレード時の SMU および PIE のインストール(install add)は失敗します。

補足:

背景説明

現在 IOS-XR は、CSS 証明書を使用してアップグレードおよびダウングレード時にインストールする SMU や PIE パッケージの正当性を確認しています。

IOS-XR ソフトウェアで使用する SMU や PIE パッケージは、この証明書を使用しています。.

IOS XR ソフトウェアは、システムの証明書および SMU/PIE に添付された著名の正当性が確認された場合のみ、インストールを許可します。

重要:この Field Notice で記述される問題は IOS-XR を使用する場合にのみ影響します(その他の情報を参照)。IOS-XR NG ベースのソフトウェア(現在 NCS 6000 シリーズのみサポートしているリリース)への影響はありません。

問題の症状

2015 年 10 月 17 日以降、IOS-XR に実装している Code Signing Server(CSS)証明書の期限が切れます。

期限切れ後、Pre-Expiry SMU、または Post-Expiry SMU を適用せずに SMU や PIE をインストール(install add)しようとすると、そのオペレーションは失敗します。

症状

2015 年 10 月 17 日以降に SMU/PIE をインストール(install add)しようとした場合、2015 年 10 月 17 日に CSS 証明書の期限が切れるため、以下のエラーが発生します。

Error: Cannot proceed with the add operation because the code signing
Error: certificate has expired.
Error: Suggested steps to resolve this:
Error: - check the system clock using 'show clock' (correct with 'clock set' if necessary).
Error: - check the pie file was built within the last 5 years using '(admin) show install pie-info
Error: /tftp://202.153.144.25/auto/tftp-sjc-users3/jamohamm/IMAGES/asr9k-mcast-px.pie-4.3.2'.

証明書の期限切れ後も、既にインストールされているイメージおよび SMU は、再起動した場合でも問題なく運用することができます。

回避策/解決方法

証明書の期限を延長する SMU を適用するには、2 つの方法があります。

  1. Pre-expiry SMU:
    • Cisco.com から Pre-Expiry SMU をダウンロードします。
    • 2015 年 10 月 17 日までにインストールします。
    • Pre-Expiry SMU は 2015 年 10 月 17 日までは cisco.com にて提供されます。

  2. Post-expiry SMU + テンポラリルート証明書:
    • 2015 年 10 月 18 日以降に公開予定の Post-Expiry SMU を cisco.com からダウンロードします。
    • 対象ノードに Post-Expiry SMU 専用のテンポラ リルート証明書を追加します。
    • Post-Expiry SMU(テンポラリ ルート証明書を使用)をインストールします。
    • Post-Expiry SMU および Pre-Expiry SMU の内容は同等なります。

    :「Hitless/Recommended, Pre-Expiry-Cert Expiration Mandatory SAM SMU」は Crypto PIE として提供されます。

    Pre-Expiry SMU、または Post-Expiry SMU を該当ノードにインストールしていない場合、CSS 証明証の期限切れ後の SMU や PIE のインストールは失敗します。2015 年 10 月 17 日以降は、Post-expiry SMU + テンポラリルート証明書によって対処してください。

  3. SMU を使用しない方法として、2015 年 10 月 17 日以前にリリースされる IOS XR 5.3.1 以降のバージョンにアップグレードすることでも回避できます。このリリースは、pre-expiry SMU の適用が不要な CSS 証明書が含まれています。

  4. Cisco IOS-XR 5.3.2 以降では、Abraxas コード署名をサポートしています。


    インパクト チャート、Method of Procedure(MOP)インストール ドキュメント、SMU ロケーションについては、「Mandatory SMU のインストール方法」を参照してください。

CDETS

下記の bug ID リンクから不具合情報の詳細を見るには、登録ユーザであり、ログインしている必要があります。

CDETS 説明
CSCut30136登録ユー ザ専用) Mandatory SMU SAM changeset for certificate expiration.
CSCut52232登録ユー ザ専用) Production SMU for SAM post Oct 2015.

その他の情報

NCS 4000/6000 シリーズ(Cisco IOS-XR NG)
NCS 4000/6000 シリーズ ルータで使用されているリリースは影響ありません。IOS-XR NG ベースのイメージ:5.0.0、5.0.1、5.2.1、5.2.3、5.2.5
IOS XR NG ベースのリリースでは、対応の必要はありません。

CSS 証明書の期限が延長された Cisco IOS-XR リリース
5.3.1

Abraxas コード署名がサポートされる Cisco IOS-XR リリース
5.3.2、5.3.3、6.0、およびそれ以降のバージョン

End of Life ソフトウェア バージョン
サポート期限を過ぎた IOS-XR ソフトウェア バージョンを使用している場合、IOS-XR をアップグレードされる際は必要なバージョンのソフトウェアを購入し、CSS 証明書の期限切れの対処を実施する必要があります。

よくある質問

これらの質問は、2015年6月の Field Notice 掲載後のカスタマーフィードバックを元に作成しています。

  1. 2015 年 10 月 17 日以降、IOS-XR 4.2.3 に Post-expiry SMU とテンポラリルート証明書をインストール後、IOS-XR 5.1.3 にアップグレードする場合、5.1.3 用の Post-expiry SMU をインストールする必要がありますか。
    それとも 4.2.3 用の Post-expiry SMU はアップグレード後も有効ですか。

    CSS 証明書の期限が切れたバージョンにアップグレードした場合、そのバージョン専用の Post-expiry SMU をインストールする必要があります。
  2. 2015 年 10 月 17 日以降に IOS-XR 5.1.3 を TURBOBOOT にてインストールした場合、Post-expiry SMU とテンポラリルート証明書は 5.1.3 用の SMU をインストールする前にインストールする必要がありますか。
    はい。Abraxas コード署名がサポートされる Cisco IOS-XR 5.3.2 以降のバージョンか CSS 証明書の期限が延長された Cisco IOS-XR 5.3.1 以外のバージョンで TURBOBOOT によるインストールをした場合、Post-expiry SMU をインストールする必要があります。 
  3. Pre-expiry SMU が既にインストールされたルータを IOS-XR 5.1.3 にアップグレードした後、6.0.0 にアップグレードする場合、5.1.3 用の Post-expiry SMU をインストールする必要はありますか。 
    はい。単に IOS-XR 6.0.0 で TURBOBOOT する場合は必要ありません。
  4. IOS-XR 4.3.x 用のサービスパックがインストールされた状態で、通信に影響なく Pre-expiry SMU か Post-expiry SMU をインストール可能ですか。 
    サー ビスパックに CSCul58246 (SP version handling) が含まれている場合か、CSCul58246 がサービスパックと共にインストールされている場合は通信影響がありません。それ以外の場合に Pre-expiry SMU か Post-expiry SMU をインストールした場合、ルータが再起動します。CSCul58246 の修正内容をシステムに反映する為には、CSCul58246 が含まれるサービスパックか SMU をアクティベート後、何らか SMU / PIE をインストール(install activate)する必要があります。
  5. Post-expiry SMU はどのサービスパックから含 まれているのでしょうか。
    2015 年 9 月 16 日以降にリリースされたすべてのサービスパックは、Post-expiry SMU が統合されています。
  6. テンポラリルート証明書はどこにありますか
    テンポラリ ルート証明書(css-root.cer)は Post-expiry SMU と共に tar ファイルに同梱されています。

Mandatory SMU のインストール方法

MOP インストレーション手順は、Install MOP - CSS to Abraxas Migration を参照してください。

各 IOS-XR とプラットフォーム毎の SMU 提供状況は、以下のテーブルを参照してください。 

Post-expiry SMU は cisco.com にて提供中です。各リリースの「Hitless/Recommended, Post-Expire-Cert Expiration Mandatory SAM SMU」を入手する為には、「Download Software」より、Service Provider Core Routers、または Service Provider Edge Routers を選択し、プロダクト ファミリおよびプロダクトを選択後、「IOS XR Software Maintenance Upgrades (SMU)」を選択します。

CRS 8 slot 5.2.2 用の SMU をダウンロードするための手順例は以下です。

  1. Routers >(:上記 Download Software のリンクがこの場所へのポインタです)
  2. Service Provider Core Routers >
  3. Carrier Routing System >
  4. CRS-X 8-Slot Single-Shelf System >
  5. IOS XR SW Maintenance Upgrades (SMU)-5.2.2

お問い合わせについて

この Field Notice に関するご質問などのお問い合せにつきましては、お手数ですが、次のいずれかの方法で シスコ TAC (Technical Assistance Center)にお問い合せください。
また、Cisco Support Forum 上のディスカッションも合わせてご参照ください。

Field Notice の新着情報を電子メールで受け取るには

Cisco Notification Service:こちらのツールでプロファイルを設定することにより、ご指定のシスコ製品についての信頼性、安全性、ネットワーク セキュリティ、および販売終了(End-of-Sale)などの情報を受信いただくことができます。