Workaround und Wiederherstellung abgelaufener Herstellerzertifikate auf uBR10K

Einleitung

In diesem Dokument werden die Optionen beschrieben, mit denen die Auswirkungen eines CM-Reject(pk)-Service auf das CMTS (Cable Modem Termination System) des uBR10K-Kabelmodems nach Ablauf des Herstellerzertifikats (Manu Cert) verhindert, umgangen und wiederhergestellt werden können.

Problem

Es gibt verschiedene Ursachen dafür, dass ein CM im Status reject(pk) auf dem uBR10K feststeckt. Ein Grund dafür ist das Auslaufen des Manu-Zertifikats. Das Manu-Zertifikat wird für die Authentifizierung zwischen einem CM und CMTS verwendet. In diesem Dokument wird ein MANU-Zertifikat als "CableLabs Mfg CA Certificate" oder "Manufacturer CA Certificate" bezeichnet. Ablaufdatum bedeutet, dass das Datum/die Uhrzeit des uBR10K-Systems das Enddatum/die Endzeit der Manu-Zertifizierung überschreitet.

Ein CM, der nach Ablauf des Manu Cert versucht, sich beim uBR10K zu registrieren, wird vom CMTS als reject(pk) (zurückgewiesen) markiert und ist nicht in Betrieb. Ein CM, der bereits beim uBR10K registriert ist und nach Ablauf des Mandu-Zertifikats in Betrieb ist, kann bis zum nächsten Registrierungsversuch des CM in Betrieb bleiben. Dies kann nach einem Offline-Ereignis eines Modems, einem Neustart der uBR10K-Kabelverbindung, einem erneuten Laden des uBR10K oder anderen Ereignissen geschehen, die eine Modemregistrierung auslösen. Zu diesem Zeitpunkt schlägt die CM-Authentifizierung fehl, wird vom uBR10K als reject(pk) (zurückgewiesen) markiert und ist nicht in Betrieb.

DOCSIS 1.1 für Cisco CMTS-Router bietet zusätzliche Informationen zur Unterstützung von uBR10K und zur Konfiguration von DOCSIS Baseline Privacy Interface (BPI+).

Informationen zum Manu-Zertifikat

Die Mandu Cert-Informationen können über uBR10K CLI-Befehle oder das Simple Network Management Protocol (SNMP) angezeigt werden.  Diese Befehle und Informationen werden von den in diesem Dokument beschriebenen Lösungen verwendet.

Felder und Attribute für Mandantenzertifikate

• Index: Eine eindeutige Ganzzahl, die jedem Manu-Zertifikat in der uBR10K-Datenbank/MIB zugewiesen ist

• Betreff:  Der Antragstellername, der genau wie im X509-Zertifikat verschlüsselt ist.
  
  • cn: CommonName
  • rz: Organisationseinheit
  • o: Organisation
  • l: Ort
  • s: BundeslandOderProvinzName
  • c: LandName
• Aussteller: Die Zertifizierungsstelle
• Seriell: Die Zertifikatseriennummer wird in einer Zeichenfolge mit hexadezimalen Achtbitzeichen dargestellt.
• Status: Der Vertrauensstatus des Zertifikats
  
  • vertrauenswürdig
  • unvertraut
  • verkettet
  • Wurzel
• Quelle: Wie das Zertifikat den CMTS erreicht hat
  
  • snmp
  • Konfigurationsdatei
  • ExterneDatenbank
  • andere
  • authentInfo
  • kompilierterInfoCode
• Status/Zeilenstatus: Zertifizierungsstatus
  
  • active
  • NichtInDienst
  • NichtBereit
  • erstellenUndLos
  • ErstellenUndWarten
  • zerstören
• Zertifikat: Das X509 DER-kodierte Zertifikat der Zertifizierungsstelle
• Gültigkeitsdatum: Start- und Enddatum, die die Gültigkeitsdauer des Manu Cert im Verhältnis zu Datum und Uhrzeit des CMTS-Systems definieren
  
  • Startdatum: Datum und Uhrzeit der Gültigkeit des Manu-Zertifikats
  • Enddatum: Datum und Uhrzeit, zu der das Manu-Zertifikat nicht mehr gültig ist
• Zertifikat: Das X509 DER-kodierte Zertifikat der Zertifizierungsstelle
• Fingerabdruck: Der SHA-1-Hash eines CA-Zertifikats

uBR10K CLI-Befehle

Die Ausgabe dieses Befehls enthält einige Manu Cert-Informationen. Der Manu Cert-Index kann nur über SNMP abgerufen werden.

• Aus dem uBR10K CLI-Exec-Modus oder dem Linecard CLI-Exec-Modus: uBR10K#show cable privacy hersteller-cert-list
• Aus dem uBR10K Linecard CLI-Ausführungsmodus: Steckplatz-6-0#Krypto-PKI-Zertifikate anzeigen

Diese Konfigurationsbefehle für die Kabelschnittstelle werden für Workarounds und Wiederherstellungen verwendet.

• uBR10K(config-if)#cable privacy keep-failed-certificate

• uBR10K(config-if)#Kabelschutz-Überspringgültigkeitsdauer

DOCSIS-BPI-PLUS-MIB OIDs

Mandu-Zertifikatinformationen werden im docsBpi2CmtsCACertEntry OID-Zweig 1.3.6.1.2.1.10.127.6.1.2.5.2.1 definiert, der im SNMP-Objektnavigator beschrieben wird.

Anmerkung: In der uBR10k-Software wurde die RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIB mit der falschen OID-MIB-Verzweigung/-Pfad implementiert. Der Vertrieb der uBR10k-Plattform läuft eingestellt und der Software-Support ist abgelaufen. Es gibt also keine Reparatur für diesen Softwarefehler. Anstelle des erwarteten MIB-Pfads/Zweigs 1.3.6.1.2.10.127.6 Für SNMP-Interaktionen mit den BPI2-MIBs/OIDs auf dem uBR10k muss der MIB-Pfad/Verzweigung 1.3.6.1.2.1.9999 verwendet werden.
Zugehörige Cisco Bug-ID CSCum28486

Dies sind die vollständigen BPI2 MIB OID-Pfad-Entsprechungen für Manu Cert-Informationen für den uBR10k, wie in Cisco Bug-ID CSCum28486 angegeben:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
  docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
  docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
  docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
  docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
  docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
  docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
  docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
  docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
  docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8

Bei den Befehlsbeispielen in diesem Dokument werden Auslassungszeichen (...) verwendet, um anzugeben, dass einige Informationen aus Gründen der Lesbarkeit weggelassen wurden.

Lösung

CM Firmware Update ist die beste langfristige Lösung. Workarounds, die es CMs mit abgelaufenen Manu Certs ermöglichen, sich zu registrieren und online mit dem uBR10K zu bleiben, werden in diesem Dokument beschrieben. Diese Workarounds werden jedoch nur für den kurzfristigen Einsatz empfohlen. Wenn ein CM-Firmware-Update nicht in Frage kommt, ist eine CM-Austauschstrategie aus Sicherheits- und Betriebsperspektive eine gute langfristige Lösung. Die hier beschriebenen Lösungen betreffen unterschiedliche Bedingungen oder Szenarien und können einzeln oder zum Teil in Kombination miteinander verwendet werden.

• CM-Firmware aktualisieren
• Vertrauenswürdige Manu-Zertifizierung festlegen
• CM-Dienst nach Ablauf eines bekannten Manu-Zertifikats wiederherstellen
• Installieren Sie ein unbekanntes abgelaufenes Manu-Zertifikat auf dem uBR10k, und markieren Sie es als vertrauenswürdig.
• Erlaubt das Hinzufügen abgelaufener CM- und Manu-Zertifikate durch AuthInfo mit einem uBR10K CLI-Befehl

Anmerkung: Wenn BPI entfernt wird, werden Verschlüsselung und Authentifizierung deaktiviert, was die Durchführbarkeit als Problemumgehung minimiert.

CM-Firmware aktualisieren

In vielen Fällen stellen CM-Hersteller CM-Firmware-Updates bereit, die das Gültigkeitsenddatum des Manu-Zertifikats verlängern. Diese Lösung ist die beste Option und verhindert, wenn sie vor Ablauf eines Manu-Zertifikats durchgeführt wird, damit verbundene Auswirkungen auf den Service. CMs laden die neue Firmware und registrieren sich mit neuen Manu Certs und CM Certs. Die neuen Zertifikate können sich ordnungsgemäß authentifizieren, und die CMs können sich erfolgreich beim uBR10K registrieren. Das neue Manu Zertifikat und das CM Zertifikat können eine neue Zertifikatskette zurück zum bekannten Stammzertifikat erstellen, das bereits im uBR10K installiert ist.

Vertrauenswürdige Manu-Zertifizierung festlegen

Wenn ein CM-Firmware-Update nicht verfügbar ist, weil ein CM-Hersteller seinen Betrieb eingestellt hat, keine Unterstützung für ein CM-Modell usw. mehr bietet, können Manu Certs, die bereits auf dem uBR10k bekannt sind und demnächst ein Gültigkeitsenddatum haben, im uBR10k vor Ablauf proaktiv als vertrauenswürdig gekennzeichnet werden. Die Seriennummer, das Gültigkeitsenddatum und der Status von Manu Cert sind über uBR10K CLI-Befehle abrufbar. Die Seriennummer des Manu Zertifikats, der Vertrauensstatus und der Index können mit SNMP gefunden werden.

Bekannte Manu-Zertifikate für derzeit in Betrieb befindliche und Online-Modems werden von uBR10K typischerweise von einem CM über das DOCSIS Baseline Privacy Interface (BPI)-Protokoll abgefragt. Die vom CM an den uBR10K gesendete AUTH-INFO-Nachricht enthält das Manu-Zertifikat. Jedes eindeutige Manu-Zertifikat wird im uBR10K-Speicher gespeichert, und seine Informationen können mit uBR10K-CLI-Befehlen und SNMP angezeigt werden.

Wenn das Manu-Zert als vertrauenswürdig markiert ist, hat das zwei wichtige Dinge. Zunächst kann die BPI-Software uBR10K das abgelaufene Gültigkeitsdatum ignorieren. Zweitens speichert es das Manu-Zertifikat als vertrauenswürdig im uBR10K NVRAM. Auf diese Weise bleibt der Manu Cert-Status bei einem uBR10K-Neuladen erhalten, und es ist nicht mehr erforderlich, dieses Verfahren zu wiederholen, wenn ein uBR10K-Neuladen erfolgt.

Die CLI- und SNMP-Befehlsbeispiele zeigen, wie ein Manu Cert-Index, eine Seriennummer und ein Vertrauensstatus identifiziert werden können. verwenden Sie diese Informationen, um den Vertrauensstatus in vertrauenswürdig zu ändern. Die Beispiele konzentrieren sich auf ein Manu-Zertifikat mit Index 5 und der Seriennummer 45529C2654797E1623C6E723180A9E9C.

Anzeigen der vielen Zertifikatinformationen aus der uBR10K-CLI

In diesem Beispiel werden die uBR10K CLI-Befehle crypto pki-Zertifikate anzeigen und show cable privacy manufacturing-cert-list verwendet, um die bekannten Manu Cert-Informationen anzuzeigen.

UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open

clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
  Certificate Usage: Not Set
  Issuer:
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
  Subject:
    cn=Arris Cable Modem Root Certificate Authority
    ou=Suwanee\
     Georgia
    ou=DOCSIS
    o=Arris Interactive\
     L.L.C.
    c=US
  Validity Date:
    start date: 20:00:00 EDT Sep 11 2001
    end   date: 19:59:59 EDT Sep 11 2021
  Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit

[Connection to 127.0.0.81 closed by foreign host]

uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained  <-- Cert Trust State is Chained
Source: Auth Info    <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C  <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

Manu-Zertifikatinformationen mit SNMP von einem Remote-Gerät anzeigen

Relevante uBR10K SNMP OIDs:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6

In diesem Beispiel wird der Befehl snmpwalk verwendet, um Informationen in der uBR10k Manu-Zertifikatstabelle anzuzeigen. Die bekannte Seriennummer des Manu-Zertifikats kann mit dem Manu-Zertifikationsindex korreliert werden, mit dem der Vertrauensstatus festgelegt werden kann. Bestimmte SNMP-Befehle und -Formate hängen vom Gerät und Betriebssystem ab, das zur Ausführung des SNMP-Befehls bzw. der SNMP-Anforderung verwendet wird. 

Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)

Vertrauenswürdigkeit für abgelaufenes bekanntes Manu-Zertifikat auf Vertrauenswürdig mit SNMP festlegen

Werte für OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (OID für uBR10k: 1.3.6.1.2.1.999.1.2.5.2.1.5)

1: vertrauenswürdig
2: unvertraut
3: verkettet
4: Wurzel

Das Beispiel zeigt den Vertrauensstatus, der für das Manu-Zertifikat mit Index = 5 und Seriennummer = 45529C2654797E1623C6E723180A9E9C von verkettet in vertrauenswürdig geändert wurde.

Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1

Bestätigen Sie die Änderung des Manu-Zertifikats mit der uBR10K-CLI oder mit SNMP.

• Der Vertrauensstellungswert wurde von verkettet in "Vertrauenswürdig" geändert.
• Der Quellwert wurde in "SNMP" geändert. Dies zeigt an, dass das Zertifikat zuletzt von SNMP verwaltet wurde und nicht von der BPI-Protokoll-AuthInfo-Nachricht.

Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)


uBR10K-01#show cable privacy manufacturer-cert-list 
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

CM-Dienst nach Ablauf eines bekannten Manu-Zertifikats wiederherstellen

Ein bisher bekanntes Manu-Zertifikat ist ein Zertifikat, das bereits in der uBR10K-Datenbank vorhanden ist, in der Regel als Folge von AuthInfo-Meldungen aus der vorherigen CM-Registrierung. Wenn ein Manu-Zertifikat nicht als vertrauenswürdig markiert ist und das Zertifikat abläuft, können alle CMs, die das abgelaufene Manu-Zertifikat verwenden, anschließend offline gehen und versuchen, sich zu registrieren, aber der uBR10K markiert sie als reject(pk) und sie sind nicht in Betrieb. In diesem Abschnitt wird beschrieben, wie Sie sich von diesem Zustand erholen und CMs mit abgelaufenen Manu-Zertifikaten erlauben, sich zu registrieren und im Betrieb zu bleiben.

Ermitteln Sie die abgelaufene bekannte Seriennummer des Manu-Zertifikats.

Die Manu Cert-Informationen für einen CM, der in reject (pk) feststeckt, können mit dem CLI-Befehl uBR10K show cable modem <CM MAC Address> privacy (Datenschutz bei CM-MAC-Adresse) überprüft werden.

show cable modem 1234.5678.9abc privacy verbose

MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information

Identifizieren Sie den Index für das abgelaufene bekannte Manu-Zertifikat, und setzen Sie den Vertrauensstatus des Manu-Zertifikats auf Vertrauenswürdig.

Verwenden Sie die gleichen uBR10K-CLI- und SNMP-Befehle wie im vorherigen Abschnitt, um den Index für das Manu-Zertifikat anhand der Seriennummer des Manu-Zertifikats zu identifizieren.  Verwenden Sie die abgelaufene Manu Cert-Indexnummer, um den Vertrauensstatus des Manu Cert auf vertrauenswürdig für SNMP festzulegen.

jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)

Installieren eines unbekannten abgelaufenen Manu-Zertifikats auf dem uBR10K und Markieren des vertrauenswürdigen Zertifikats

Wenn ein abgelaufenes Manu-Zertifikat dem uBR10K nicht bekannt ist, daher vor dem Ablauf nicht verwaltet (als vertrauenswürdig gekennzeichnet) und nicht wiederhergestellt werden kann, muss das Manu-Zertifikat dem uBR10K hinzugefügt und als vertrauenswürdig gekennzeichnet werden. Diese Bedingung tritt auf, wenn ein CM, der zuvor unbekannt und nicht auf einem uBR10K registriert war, versucht, sich bei einem unbekannten und abgelaufenen Manu-Zertifikat zu registrieren.

Das Manu-Zertifikat kann dem uBR10K über das SNMP-Set oder über die Konfiguration für die Aufbewahrung fehlgeschlagener Kabelzertifikate hinzugefügt werden.

Hinzufügen eines abgelaufenen unbekannten Manu-Zertifikats zum uBR10K mit SNMP

Um ein Herstellerzertifikat hinzuzufügen, fügen Sie der Tabelle docsBpi2CmtsCACertTable einen Eintrag hinzu. Geben Sie diese Attribute für jeden Eintrag an.

• docsBpi2CmtsCACertStatus 1.3.6.1.2.1.999.1.2.5.2.1.7 (auf 4 setzen, um den Zeileneintrag zu erstellen)
• docsBpi2CmtsCACert = 1.3.6.1.2.1.999.1.2.5.2.1.8 (Die Hexadezimaldaten als X509-Zertifikatwert für das tatsächliche X.509-Zertifikat)
• docsBpi2CmtsCACertTrust 1.3.6.1.2.1.999.1.2.5.2.1.5 (Auf 1 setzen, um den Vertrauensstatus des Manu-Zertifikats auf vertrauenswürdig festzulegen)

Die meisten Betriebssysteme können keine Eingabezeilen akzeptieren, die so lang sind wie nötig, um die Hexadezimalzeichenfolge einzugeben, die ein Zertifikat angibt. Aus diesem Grund wird ein grafischer SNMP-Manager empfohlen, um diese Attribute festzulegen. Für eine Reihe von Zertifikaten kann eine Skriptdatei verwendet werden, wenn dies praktischer ist.

Der SNMP-Befehl und die Ergebnisse in diesem Beispiel fügen der uBR10K-Datenbank ein ASCII DER-codiertes ASN.1 X.509-Zertifikat mit folgenden Parametern hinzu:

Index = 11
Status = createAndGo (4)
Trust state =  trusted (1)

Verwenden Sie eine eindeutige Indexnummer für das hinzugefügte Manu-Zertifikat. Wenn ein abgelaufenes Mandu-Zertifikat hinzugefügt wird, ist der Status nicht vertrauenswürdig, es sei denn, er ist manuell auf vertrauenswürdig festgelegt. Wenn ein selbstsigniertes Zertifikat hinzugefügt wird, muss der Befehl cable privacy accept-self-signed-certificate unter der Kabelschnittstellenkonfiguration uBR10K konfiguriert werden, bevor uBR10K das Zertifikat akzeptieren kann. 

In diesem Beispiel wird aus Gründen der Lesbarkeit ein Teil des Zertifikatsinhalts weggelassen, der durch elipsis (...) gekennzeichnet ist. 

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01 
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53 
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c 
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 = 
30 82  04 00   30 82  02 e8    a0 03  02 01   02 02  10 43    
74 98  f0 9a   7d cb  c1 fa    7a a1  01 fe   97 6e  40 30    
...    
f9 3b  59 5e   e2 05  0e 89    e5 9d  2a 40   c2 9b  4f 21     
1f 1b  b7 2c   13 19  3d 56    ab 4b  09 a9   1e 62  5c ee     
c0 d2  ba 2d    
docsBpi2CmtsCACertTrust.11 = trusted(1)

Hinzufügen eines abgelaufenen Manu-Zertifikats während der CM-Registrierung in der CLI

Ein Manu-Zertifikat gelangt in der Regel über die vom CM an den uBR10K gesendete BPI-Protokoll-AuthInfo-Nachricht in die uBR10K-Datenbank. Jedes eindeutige und gültige Manu-Zertifikat, das in einer AuthInfo-Nachricht empfangen wird, wird der Datenbank hinzugefügt. Wenn das Manu-Zertifikat dem CMTS unbekannt ist (nicht in der Datenbank) und das Gültigkeitsdatum abgelaufen ist, wird AuthInfo abgelehnt, und das Manu-Zertifikat wird nicht zur uBR10K-Datenbank hinzugefügt. Ein ungültiges Manu-Zertifikat kann von AuthInfo zum uBR10K hinzugefügt werden, wenn die Workaround-Konfiguration für Kabeldatenschutz-Zertifikate unter der uBR10K-Kabelschnittstellenkonfiguration vorhanden ist. Dies ermöglicht das Hinzufügen des abgelaufenen Manu Cert zur uBR10K-Datenbank als nicht vertrauenswürdig. Um das abgelaufene Manu-Zertifikat zu verwenden, muss SNMP verwendet werden, um es als vertrauenswürdig zu markieren.

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end

Wenn das abgelaufene Manu-Zertifikat zum uBR10K hinzugefügt und als vertrauenswürdig markiert wird, wird empfohlen, die Konfiguration für die Beibehaltung fehlerhafter Zertifikate zu entfernen, um das Hinzufügen weiterer unbekannter abgelaufener Manu-Zertifikate zum uBR10K zu verhindern.

Erlaubt das Hinzufügen abgelaufener CM- und Manu-Zertifikate durch AuthInfo mit einem uBR10K CLI-Befehl

In einigen Fällen läuft das CM-Zertifikat ab. In diesem Fall ist neben der Konfiguration für die Beibehaltung fehlerhafter Zertifikate eine weitere Konfiguration für den uBR10K erforderlich. Fügen Sie unter jeder relevanten uBR10K MAC-Domäne (Kabelschnittstelle) die Konfiguration für den Überspringgültigkeitszeitraum für den Kabelschutz hinzu, und speichern Sie die Konfiguration. Dadurch ignoriert der uBR10K abgelaufene Gültigkeitsprüfungen für ALLE CM- und Manu-Zertifikate, die in der CM-BPI-AuthInfo-Nachricht gesendet wurden.  

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start

Zusätzliche Informationen

Überlegungen zur Konfiguration der MAC-Domäne/Kabelschnittstelle

Die Konfigurationsbefehle für die Kabeldatenschutzaufbewahrung - fehlgeschlagene Zertifikate und die Kabeldatenschutzübersprunggültigkeitsdauer werden auf der Ebene der MAC-Domäne bzw. der Kabelschnittstelle verwendet und sind nicht einschränkend. Mit dem Befehl zum Beibehalten fehlgeschlagener Zertifikate kann der uBR10K-Datenbank jedes fehlerhafte Zertifikat hinzugefügt werden. Mit dem Befehl zum Überspringen der Gültigkeitsdauer können Validitätsdatumsprüfungen für alle Manu- und CM-Zertifikate übersprungen werden.

Überlegungen zur SNMP-Paketgröße

Bei Verwendung großer Zertifikate kann eine zusätzliche uBR10K SNMP-Konfiguration erforderlich sein. SNMP Get of Cert-Daten können NULL sein, wenn cert OctetString größer als die SNMP-Paketgröße ist.  Beispiele;

uBR10K#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end

Manu Cert Debug

Manu Cert debug auf dem uBR10K us wird mit den Befehlen debug cable privacy ca-cert und debug cable mac-address <cm mac-address> unterstützt.  Weitere Informationen zum Debuggen finden Sie im Support-Artikel How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis (Wie dekodiert man das DOCSIS-Zertifikat für die Diagnose des Modemsteckers?).

Zugehörige Support-Dokumentation

• Kabelmodems und Zertifikate auslaufender Hersteller auf cBR-8-Produktneuheiten - Cisco
• Cisco Universal Broadband Router der Serie uBR10000
• Technischer Support und Dokumentation für Cisco Systeme