ルータ : Cisco ASR 9000 シリーズ アグリゲーション サービス ルータ

IOS-XR Field Notice - FN63979 - の補足情報

2015 年 11 月 2 日 - 日本オリジナル版
その他のバージョン: PDFpdf | フィードバック

目次


改訂履歴

リビジョン
日付
備考
1.2
2015 年 11 月 2 日
 よくある質問と回答を更新
1.1
2015 年 10 月 14 日
 対処方法、よくある質問と回答を更新
1.0
2015 年 6 月 12 日
初版リリース

このドキュメントの目的

このドキュメントは、IOS-XR が稼働する機器向けの Field Notice - FN63979 - の補足情報を提供します。FN63979 については、以下のリンクを参照してください。

英語版
Field Notice: FN - 63979 - ASR9000, CRS, and XR12000 That Run Cisco IOS-XR 5.3.0 and Earlier - Oct 17, 2015 SW Certificate Expiration - SMU Upgrade

日本語訳
Field Notice: FN - 63979 - Cisco IOS-XR 5.3.0 以下が稼働する ASR9000/CRS/XR12000 にて 2015/10/17 に SW 証明書の期限切れが発生 - SMU アップグレード

問題の概要

2015 年 10 月 17 日に、Cisco IOS-XR で実装されている Code Signing Server(CSS)証明書の期限が切れます。アップグレード、またはダウングレード時に Software Maintenance Upgrade(SMU)、Package Installation Envelope(PIE)の正当性を確認するために、IOS-XR ソフトウェアはインストール(install add)時にこの CSS 証明書を使用してします。

Pre-Expiry SMU(2015 年 10 月 17 日以前に使用)、もしくは Post-Expiry SMU(2015 年 10 月 17 日以降に使用)にて CSS 証明書を更新しない場合、2015 年 10 月 17 日以降に実施するアップグレード、またはダウングレード時の SMU および PIE のインストール(install add)は失敗します。対処 SMU を適用できない場合、2015 年 10 月 17 日以降の影響は SMU および PIE のインストール(install add)のみであり、他の影響はありません。

なお、Pre-Expiry SMU は CSCut30136、Post-Expiry SMU は CSCut52232 として提供されます。以下の bug ID のリンクから不具合の詳細を見るには、登録ユーザであり、ログインしている必要があります。

CDETS 説明
CSCut30136登録ユーザ専用) Mandatory SMU SAM changeset for certificate expiration.
CSCut52232登録ユーザ専用) Production SMU for SAM post Oct 2015.

該当製品

本事象は、IOS-XR 5.3.0 以下のバージョンが稼働する以下の製品において発生します。

・CRS シリーズ ルータ
・ASR 9000 シリーズ ルータ
・XR 12000 シリーズ ルータ

IOS-XR 5.3.1 以降のバージョン、IOS-XR NG(NCS 4000/6000シリーズ)を使用の場合、影響はありません。

対処方法

本件の対処のためには、Pre-Expiry SMU もしくは Post-Expiry SMU を使用して CSS 証明書の期限を延長する必要があります。Pre-Expiry SMU は 2015 年 10 月 17 日以前に使用し、Post-Expiry SMU は同梱されているテンポラリ ルート証明書とともに 2015 年 10 月 17 日以降に使用します。

2015 年 10 月 17 日以前の対処方法

  1. Pre-expiry SMU を cisco.com の Download Software より、「Service Provider Core Routers」または 「Service Provider Edge Routers」を選択し、プロダクト ファミリおよびプロダクトを選択後、「IOS XR Software Maintenance Upgrades (SMU)」を選択し、各リリースの「Hitless/Recommended, Pre-Expire-Cert Expiration Mandatory SAM SMU」を入手します。

  2. install add コマンドにて Pre-expiry SMU をルータに追加します。

  3. install activate コマンドにて Pre-expiry SMU をアクティベートします。

    XR5.1.3 における Pre-expire SMU のインストール例
    Pre-expire SMU の追加
    RP/0/RSP0/CPU0:XR(admin)#install add tftp://10.0.0.1/asr9k-px-5.1.3.CSCut30136.pie sync
    Install operation 10 '(admin) install add
    /tftp://10.0.0.1/asr9k-px-5.1.3.CSCut30136.pie synchronous' started by user 'cisco' via CLI at 04:00:04 JST Tue Jun 2 2015.
    Info:     The following package is now available to be activated:
    Info:
    Info:         disk0:asr9k-px-5.1.3.CSCut30136-1.0.0
    Info:
    Info:     The package can be activated across the entire router.
    Info:
    Install operation 10 completed successfully at 04:00:12 JST Tue Jun 2 2015.

    Pre-expire SMU のアクティベート
    RP/0/RSP0/CPU0:XR(admin)#install activate disk0:asr9k-px-5.1.3.CSCut30136-1.0.0 sync
    Install operation 11 '(admin) install activate
    disk0:asr9k-px-5.1.3.CSCut30136-1.0.0 synchronous' started by user 'cisco' via
    CLI at 04:00:24 JST Tue Jun 2 2015.
    Info:     Install Method: Parallel Process Restart
    | 15% complete: The operation can still be aborted (ctrl-c for options)
    RP/0/RSP0/CPU0:Jun 2 04:01:36.180 : sam_server[384]: %SECURITY-SAM-4-CAUGHT_SIGNAL : server terminating..
    RP/0/RSP0/CPU0:Jun 2 04:01:36.494 : sam_server[384]: %SECURITY-SAM-4-SYSDB_INTEGRITY : Cannot guarantee the integrity of SAM SysDB name space, SAM internal tables had been discarded, and will try to recover from backup files.
    Info:     The changes made to software configurations will not be persistent
    Info:     across system reloads. Use the command '(admin) install commit' to
    Info:     make changes persistent.
    Info:     Please verify that the system is consistent following the software
    Info:     change using the following commands:
    Info:         show system verify
    Info:         install verify packages
    Install operation 11 completed successfully at 04:01:59 JST Tue Jun 2 2015.
    RP/0/RSP0/CPU0:Router(admin)#

2015 年 10 月 17 日以降の対処方法

  1. Post-expiry SMU とテンポラリ ルート証明書を cisco.com の Download Software より、「Service Provider Core Routers」または 「Service Provider Edge Routers」を選択し、プロダクト ファミリおよびプロダクトを選択後、「IOS XR Software Maintenance Upgrades (SMU)」を選択し、各リリースの「Hitless/Recommended SMU, Post-Expiry-Cert Expiration Mandatory SAM SMU」を入手します。テンポラリ ルート証明書は、Post-expiry SMU と共に tar ファイルに同梱されています。

  2. コンソールからログインしている場合は、Privileged EXEC モード の sam add certificate コマンドにて、テンポラリ ルート証明書をインストールします。TELNET/SSH からログインしている場合は、Privileged EXEC モード の run samcmd sam add certificate コマンドにて、テンポラリ ルート証明書をインストールします。

  3. install add コマンドにて Post-expiry SMU をルータに追加します。

  4. install activate コマンドにて Post-expiry SMU をアクティベートします。

    XR 5.1.3 におけるテンポラリ ルート証明書と Post-Expire SMU のインストール例
    テンポラリ ルート証明書のコピー
    RP/0/RSP0/CPU0:XR#copy tftp://10.0.0.1/css-root.cer disk0:
    Destination filename [/disk0:/css-root.cer]?
    Accessing tftp://10.0.0.1/css-root.cer
    C
    1217 bytes copied in      0 sec

    テンポラリ ルート証明書の追加(コンソール経由の場合
    RP/0/RSP0/CPU0:XR#sam add certificate /disk0:/css-root.cer root trust
    SAM: Successful adding certificate /disk0:/css-root.cer

    もしくは

    テンポラリ ルート証明書の追加(TELNET/SSH 経由の場合
    RP/0/RSP0/CPU0:XR#run samcmd sam add certificate /disk0:/css-root.cer root trust
    SAM: Successful adding certificate /disk0:/css-root.cer

    Post-expire SMU の追加
    RP/0/RSP0/CPU0:XR(admin)#install add tftp://10.0.0.1/asr9k-px-5.1.3.CSCut52232 sync
    Install operation 20 '(admin) install add /tftp://10.0.0.1/asr9k-px-5.1.3.CSCut52232-1.0.0 synchronous' started by user 'cisco' via CLI at 06:12:33 JST Wed Dec 21 2016.
    Info:     The following package is now available to be activated:
    Info:
    Info:         disk0:asr9k-px-5.1.3.CSCut52232-1.0.0
    Info:
    Info:     The package can be activated across the entire XR.
    Info:
    Install operation 20 completed successfully at 06:12:40 JST Wed Dec 21 2016.

    Post-expire SMU のアクティベート
    RP/0/RSP0/CPU0:XR(admin)#install activate disk0:asr9k-px-5.1.3.CSCut52232-1.0.0 sync
    Wed Dec 21 06:41:02.086 JST
    Install operation 21 '(admin) install activate disk0:asr9k-px-5.1.3.CSCut52232-1.0.0 synchronous' started by user 'cisco' via CLI at 06:41:02 JST Wed Dec 21 2016.
    Info:     Install Method: Parallel Process Restart
    / 15% complete: The operation can still be aborted (ctrl-c for options)
    Info:     The changes made to software configurations will not be persistent
    Info:     across system reloads. Use the command '(admin) install commit' to
    Info:     make changes persistent.
    Info:     Please verify that the system is consistent following the software
    Info:     change using the following commands:
    Info:         show system verify
    Info:         install verify packages
    ¥ 100% complete: The operation can still be aborted (ctrl-c for options)
    RP/0/RSP0/CPU0:Wed 21 06:42:37.856 : instdir[253]: %INSTALL-INSTMGR-4-ACTIVE_SOFTWARE_COMMITTED_INFO : The currently active software is not committed. If the system reboots then the committed software will be used. Use 'install commit' to commit the active software.
    Install operation 21 completed successfully at 06:42:37 JST Wed Dec 21 2016.
    RP/0/RSP0/CPU0:XR(admin)#


よくある質問と回答

FN63979 の内容に関連した Q & A

Q1-1. 対象となる IOS-XR バージョンが知りたい。
A1-1. IOS-XR 5.3.0 以下全てのバージョンが該当します。

Q1-2. Post-expiry SMU と専用のテンポラリ ルート証明書はいつ公開されるのか。
A1-2. cisco.com の Download Software にて公開中です。専用のテンポラリ ルート証明書(css-root.cer)は Post-expiry SMU と共に tar ファイルに同梱されています。

Q1-3. End-of-Life(EoL)や End-of-Software-Maintenance(EoSM)の IOS-XR バージョンを使用している場合、どうしたらいいのか。
A1-3. 本件の対処としては、2015 年 10 月 17 日迄に対処 SMU の提供されるバージョンか、5.3.1 以降のバージョンへのアップグレードを検討してください。

Q1-4. End-of-Life(EoL)や End-of-Software-Maintenance(EoSM)の製品に SMU は提供されるか。
A1-4. EoL バージョンはサポート期間を終了しておりますので SMU の提供はありません。EoSM バージョンも基本的には SMU の提供はありません。

Q1-5. CSS 証明書の期限切れは、ソフトウェア不具合の影響か。
A1-5. CSS 証明書の期限は IOS-XR 作成時に設定しており、期限切れはソフトウェア不具合ではなく正常動作です。

Q1-6. CSS 証明書の期限が切れる正確な時間が知りたい。
A1-6. CSS 証明書の期限は、日本時間 2015 年 10 月 17 日 10 時 51 分 47 秒です。

Q1-7. Pre-expiry SMU / Post-expiry SMU を他の SMU と同時にアクティベートすることはできるか。
A1-7. Pre-expiry SMU は可能です。2015 年 10 月 17 日以降は、Post-expiry SMU と他の SMU を同時にアクティベートはできないため、先に Post-expiry SMU のみをアクティベートする必要があります。

Q1-8. Field Notice: FN63979 の説明にある CSS と Abraxas は何が違うのか。
A1-8. CSS は、IOS-XR 5.3.1 以前で使用されており、MD5 と RSA を使用した認証システムです。Abraxas は IOS-XR 5.3.2 以降で使用されている SHA-2(SHA-512)と RSA を使用した、よりセキュリティ強度が向上した認証システムです。

Q1-9. テンポラリ ルート証明書のインストール時に影響はあるか。
A1-9. システムやプロセスの再起動は発生しないため、システムへの影響はなく、インストールもコマンド実行直後に完了します。

Q1-10. テンポラリ ルート証明書導入後、既存の SMU のインストールもテンポラリ ルート証明書が使用されるのか。
A1-10. テンポラリ ルート証明書は、Post-expiry SMU 専用であり、他の SMU では使用されません。

Q1-11. 2015 年 10 月 17 日以降は、毎回インストール(install add)ができなくなるのか。
A1-11. タイミング問題ではなく、認証システムの問題なので必ず発生する問題です。

Q1-12. テンポラリ ルート証明書の期限が切れる正確な時間が知りたい。
A1-12. テンポラリ ルート証明書の期限は、日本時間 2024 年 10 月 6 日 19 時 19 分 42 秒です。

Pre-expiry SMU と Post-expiry SMU に関連した Q & A

Q2-1. Pre-expiry SMU と Post-expiry SMU の Bug-ID が知りたい。
A2-1. Pre-expiry SMU が CSCut30136、 Post-expiry SMU が CSCut52232 となります。

Q2-2. Pre-expiry SMU と Post-expiry SMU の違いは何か。
A2-2. Pre-expiry SMU は 2015 年 10 月 17 日迄に使用し、Post-expiry SMU は 2015 年 10 月 17 日以降に専用のテンポラリ ルート証明書と共に使用します。2つの SMU の違いはインストール時に使用するルート証明書のみです。

Q2-3. Pre-expiry SMU と Post-expiry SMU の修正内容は何か。
A2-3. 両方 の SMU は共に CSS 証明書の期限を 2042年まで延長する内容であり、コード レベルで同一の変更です。

Q2-4. Post-expiry SMU をアクティベートする場合、事前に Pre-expiry SMU をアクティベートする必要はあるか。
A2-4. 必要ありません。

Q2-5. Pre-expiry SMU をアクティベートした場合、Post-expiry SMU はアクティベートする必要はないのか。
A2-5. 両方の SMU をアクティベートする必要はありません。

Q2-6. Pre-expiry SMU と Post-expiry SMU の両方をアクティベートしても問題はないか。
A2-6. どちらか片方のみアクティベートするようにしてください。

Q2-7. Pre-expiry SMU / Post-expiry SMU のアクティベート時の影響はあるか。
A2-7. Pre-expiry SMU / Post-expiry SMU 共に hitless SMU の為、トラフィックへの影響はありません。ただし、IOS-XR 4.3.x に CSCul58246 をインストールせずに Service Pack を導入している場合や、CSCul58246 を含まない Service Pack を導入されている場合は、hitless SMU であっても再起動する場合があります。再起動が必要な場合は、Install Manager から通知されますが、事前の検証を推奨します。注:A2-14 もご参照ください

Q2-8. Service Pack/Feature Pack を利用しているが、Pre-expiry SMU と Post-expiry SMU をアクティベートすることは可能か。
A2-8. 可能です。IOS-XR 5.3.0 以下のバージョンに対して、2015 年 10 月 17 日以降に初めて Service Pack/Feature Pack を導入する場合は、Post-expiry SMU をアクティベートした後にインストールする必要があります。

Q2-9. Pre-expiry SMU / Post-expiry SMU のアンインストールは可能か。
A2-9. 可能ですが、アンインストール後は、2015 年 10 月 17 日以降 SMU/PIE のインストールができません。ただし、アクティベート済みの SMU/PIE については影響はありません。

Q2-10. Pre-expiry SMU を2015 年 10 月 17 日以前にインストール(install add)しておき、CSS 証明書の期限切れ後にアクティベートすることは可能か。
A2-10. 他の SMU/PIE と同様に、install add 済みの場合は影響を受けません。

Q2-11. Pre-expiry SMU / Post-expiry SMU のアクティベート時に sam_server からログが出力されたが、問題はあるのか。
A2-11. Pre-expiry SMU / Post-expiry SMU に同梱の Readme ファイルに記載の通り、アクティベート時に下記ログが出力されても問題はありません。
        sam_server[xxx]: %SECURITY-SAM-4-CAUGHT_SIGNAL : server terminating.
        sam_server[xxx]: %SECURITY-SAM-4-SYSDB_INTEGRITY : Cannot guarantee the integrity of SAM SysDB name space, SAM internal tables had been discarded, and will try to recover from backup files.

Q2-12. Pre-expiry SMU もしくは Post-expiry SMU を含む Service Pack はリリースされるのか。
A2-12. 2015 年 9 月 16 日以降にリリースされたすべてのサービスパックは、Post-expiry SMU が統合されています。

Q2-13. Pre-expiry SMU もしくは Post-expiry SMU をインストール後、期限が2042年まで延長されたことを確認する方法が知りたい。
A2-13. Pre-expiry SMU / Post-expiry SMU による CSS 証明書の期限延長後の期限について、コマンドで確認することはできません。IOS-XR 5.3.0 以下のバージョンについては、Pre-expiry SMU / Post-expiry SMU のアクティベート有無にて、CSS 証明書の期限延長をご確認ください。

Q2-14. IOS-XR 4.3.x にサービスパックと CSCul58246 が適用された状態で Post-expiry SMU をアクティベートしたのに再起動を要求された。
A2-14. CSCul58246 の修正内容をシステムに反映する為には、CSCul58246 が含まれるサービスパックか SMU をアクティベート後、何らか SMU / PIE をアクティベートする必要があります。 その際、hitless SMU であっても再起動が要求されます。よって、サービスパック上に CSCul58246 をアクティベート後、最初にアクティベートする SMU が Post-expiry SMU であった場合は 再起動が要求されます。

2015 年 10 月 17 日以降の運用に関連した Q & A

Q3-1. 2015 年 10 月 17 日以降も対処をせずに運用した場合の影響は何か。
A3-1. 新規の SMU/PIE の追加(Install add)ができなくなるのみで、システム再起動や RP/RSP 交換時の同期、その他のモジュール交換等、他の影響はありません。

Q3-2. 2015 年 10 月 17 日迄に追加した SMU/PIE について、CSS 証明書の期限切れ後の扱いはどのようになるか。
A3-2. CSS 証明書の確認は Install add 時のみ実施されるため、一旦追加されている SMU/PIE は 2015 年 10 月 17 日以降も問題なくアクティベートできます。

Q3-3. 2015 年 10 月 17 日以降に Post-expiry SMU を適用せず、システムの日付を 2015 年 10 月 17 日以前に戻すことでも回避できるか。
A3-3. SMU/PIE のアクティベートは可能になりますが、動作の保証はできません。

Q3-4. 2015 年 10 月 17 日以降、IOS XR 5.3.0 以下のバージョンについて、Turboboot による新規インストールは影響を受けるか。
A3-4. Turboboot によるインストールは影響を受けませんが、IOS-XR インストール後の PIE/SMU のインストールに影響があります。

Q3-5. 2015 年 10 月 17 日以降に IOS XR 5.3.0 以下のバージョンを新規に Turboboot で導入したりダウングレードした場合は、影響は回避できるか。
A3-5. 回避できせん。