Workaround und Wiederherstellung abgelaufener Herstellerzertifikate auf cBR-8

Einleitung

In diesem Dokument werden die Optionen beschrieben, mit denen die Auswirkungen eines CM-Reject(pk)-Service auf das CMTS (Cable Modem Termination System) des cBR-8-Kabelmodems nach Ablauf des Herstellerzertifikats (Manu Cert) verhindert, umgangen und wiederhergestellt werden können.

Problem

Es gibt verschiedene Ursachen dafür, dass ein CM im Status "reject(pk)" auf dem cBR-8 feststeckt. Eine Ursache ist der Ablauf des Manu-Zertifikats. Das Manu-Zertifikat wird für die Authentifizierung zwischen einem CM und CMTS verwendet. In diesem Dokument wird ein MANU-Zertifikat als "CableLabs Mfg CA Certificate" oder "Manufacturer CA Certificate" bezeichnet. Ablaufdatum bedeutet, dass das Datum/die Uhrzeit des cBR-8-Systems das Enddatum/die Endzeit der Manu-Zertifizierung überschreitet.

Ein CM, der nach Ablauf des Manu Cert versucht, sich beim cBR-8 zu registrieren, wird vom CMTS als reject(pk) (zurückgewiesen) markiert und ist nicht in Betrieb. Ein CM, der bereits beim cBR-8 registriert ist und nach Ablauf des Mandu Cert in Betrieb ist, kann bis zum nächsten Registrierungsversuch des CM in Betrieb bleiben. Dies kann nach einem einzelnen CM-Offline-Ereignis, einem cBR-8-Kabel-Linecard-Neustart, einem cBR-8-Neuladen oder einem anderen Ereignis erfolgen, das die CM-Registrierung auslöst. Zu diesem Zeitpunkt schlägt die CM-Authentifizierung fehl, wird von der cBR-8 als reject(pk) markiert und ist nicht in Betrieb.

Die Informationen in diesem Dokument dienen zur Erweiterung und Neuformatierung von Inhalten, die im cBR-8-Produktmerkblatt für Kabelmodems und auslaufende Herstellerzertifikate veröffentlicht wurden.

Anmerkung: Cisco Bug-ID CSCv21785; In einigen Versionen von Cisco IOS XE führt dieser Fehler dazu, dass ein vertrauenswürdiges Manu-Zertifikat nach einem cBR-8-Neuladen nicht validiert wird. In einigen Fällen ist das Manu-Zertifikat vorhanden, befindet sich aber nicht mehr im vertrauenswürdigen Zustand. In diesem Fall kann der Vertrauensstatus "Mandu-Zertifikat" mit den in diesem Dokument beschriebenen Schritten in "Vertrauenswürdig" geändert werden. Wenn das Manu-Zertifikat in der Ausgabe des Befehls show cable privacy hersteller-cert-list nicht vorhanden ist, kann das Manu-Zertifikat manuell oder durch AuthInfo mithilfe der in diesem Dokument beschriebenen Schritte erneut hinzugefügt werden.

Informationen zum Manu-Zertifikat

Die Mandu Cert-Informationen können über cBR-8 CLI-Befehle oder SNMP-Befehle (Simple Network Management Protocol) von einem Remote-Gerät aus angezeigt werden. Die cBR-8-CLI unterstützt auch SNMP-Befehle "set", "get" und "get-bulk". Diese Befehle und Informationen werden von den in diesem Dokument beschriebenen Lösungen verwendet.

Felder und Attribute für Mandantenzertifikate

• Index: Eine eindeutige Ganzzahl, die jedem Manu-Zertifikat in der cBR-8-Datenbank/MIB zugewiesen ist
• Betreff:  Der Antragstellername, der genau wie im X509-Zertifikat verschlüsselt ist.
  
  • cn: CommonName
  • rz: Organisationseinheit
  • o: Organisation
  • l: Ort
  • s: BundeslandOderProvinzName
  • c: LandName
• Aussteller: Die Zertifizierungsstelle
• Seriell: Die Zertifikatseriennummer wird in einer Zeichenfolge mit hexadezimalen Achtbitzeichen dargestellt.
• Status: Der Vertrauensstatus des Zertifikats
  
  • vertrauenswürdig
  • unvertraut
  • verkettet
  • Wurzel
• Quelle: Wie das Zertifikat den CMTS erreicht hat
  
  • snmp
  • Konfigurationsdatei
  • ExterneDatenbank
  • andere
  • authentInfo
  • kompilierterInfoCode
• Status/Zeilenstatus: Zertifizierungsstatus
  
  • active
  • NichtInDienst
  • NichtBereit
  • erstellenUndLos
  • Erstellen und warten
  • zerstören

• Zertifikat: Das X509 DER-kodierte Zertifikat der Zertifizierungsstelle
• Gültigkeitsdatum: Start- und Enddatum, die die Gültigkeitsdauer des Manu Cert im Verhältnis zu Datum und Uhrzeit des CMTS-Systems definieren
  
  • Startdatum: Datum und Uhrzeit der Gültigkeit des Manu-Zertifikats
  • Enddatum: Datum und Uhrzeit, zu der das Manu-Zertifikat nicht mehr gültig ist
• Zertifikat: Das X509 DER-kodierte Zertifikat der Zertifizierungsstelle
• Fingerabdruck: Der SHA-1-Hash eines CA-Zertifikats

cBR-8 CLI-Befehle

Mandu Cert-Informationen können mit diesen cBR-8 CLI-Befehlen angezeigt werden.

• Aus dem cBR-8 CLI-Exec-Modus oder dem Linecard CLI-Exec-Modus: CBR8-1#show cable privacy hersteller-cert-list
• Von cBR-8 Line Card-CLI-Exec-Modus: Steckplatz-6-0#Krypto-PKI-Zertifikate anzeigen

Diese Cisco IOS® XE SNMP-Befehle werden über die cBR-8-CLI zum Abrufen und Festlegen von SNMP-OIDs verwendet.

• snmp get
• snmp get-bulk
• SNMP-Satz

Diese Befehle zur Konfiguration der cBR-8-Kabelschnittstelle werden für Workarounds und zur Wiederherstellung verwendet, die im Abschnitt "Lösung" dieses Dokuments beschrieben werden.

• Kabeldatenschutzzertifikate zurückbehalten
• Gültigkeitsdauer des Kabelschutzes

DOCSIS-BPI-PLUS-MIB OIDs

Mandu-Zertifikatinformationen werden in docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1 definiert, die im SNMP-Objektnavigator beschrieben wird.

Relevante SNMP OIDs

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

In Befehlsbeispielen zeigen Auslassungszeichen (...) an, dass einige Informationen aus Gründen der Lesbarkeit weggelassen wurden.

Lösung

CM Firmware Update ist die beste langfristige Lösung. Workarounds, die in diesem Dokument beschrieben werden, ermöglichen es CMs mit abgelaufenen Manu Certs, sich zu registrieren und online mit dem cBR-8 zu bleiben. Diese Workarounds werden jedoch nur für den kurzfristigen Einsatz empfohlen. Wenn ein CM-Firmware-Update nicht in Frage kommt, ist eine CM-Austauschstrategie aus Sicherheits- und Betriebsperspektive eine gute langfristige Lösung. Die hier beschriebenen Lösungen betreffen unterschiedliche Bedingungen oder Szenarien und können einzeln oder zum Teil in Kombination miteinander verwendet werden.

• CM-Firmware aktualisieren
• Vertrauenswürdige Manu-Zertifizierung festlegen
• CM-Dienst nach Ablauf eines bekannten Manu-Zertifikats wiederherstellen
• Installation eines unbekannten abgelaufenen Manu-Zertifikats auf dem cBR-8 und Markierung vertrauenswürdiger Zertifikate

• Abgelaufene CM- und Manu-Zertifikate durch AuthInfo mit einem cBR-8 CLI-Befehl hinzufügen

Anmerkung: Wenn BPI entfernt wird, werden Verschlüsselung und Authentifizierung deaktiviert, was die Durchführbarkeit als Problemumgehung minimiert.

CM-Firmware aktualisieren

In vielen Fällen stellen CM-Hersteller CM-Firmware-Updates bereit, die das Gültigkeitsenddatum des Manu-Zertifikats verlängern. Diese Lösung ist die beste Option und verhindert, wenn sie vor Ablauf eines Manu-Zertifikats durchgeführt wird, damit verbundene Auswirkungen auf den Service. CMs laden die neue Firmware und registrieren sich mit neuen Manu Certs und CM Certs. Die neuen Zertifikate können sich korrekt authentifizieren, und die CMs können sich erfolgreich bei der cBR-8 registrieren. Das neue Manu Zertifikat und das CM Zertifikat können eine neue Zertifikatskette zurück zu dem bekannten Stammzertifikat erstellen, das bereits in der cBR-8 installiert ist.

Vertrauenswürdige Manu-Zertifizierung festlegen

Wenn ein CM-Firmware-Update aufgrund eines ausgeschalteten CM-Herstellers nicht verfügbar ist, keine weitere Unterstützung für ein CM-Modell usw., können bereits auf dem cBR-8 bekannte Manu Certs mit Gültigkeitsenddaten in naher Zukunft proaktiv als vertrauenswürdig im cBR-8 vor dem Gültigkeitsenddatum markiert werden. Die cBR-8-CLI-Befehle und SNMP dienen zum Identifizieren von Manu Cert-Informationen wie Seriennummer und Vertrauensstatus. SNMP wird verwendet, um den Vertrauensstatus von Manu Cert in cBR-8 auf "vertrauenswürdig" festzulegen. Auf diese Weise können sich die zugehörigen CMs registrieren und im Betrieb bleiben.

Bekannte Manu-Zertifikate für derzeit in Betrieb befindliche und Online-CMs werden von cBR-8 typischerweise von einem CM über das DOCSIS Baseline Privacy Interface (BPI)-Protokoll abgefragt. Die vom CM an den cBR-8 gesendete AuthInfo-Nachricht enthält das Manu-Zertifikat. Jedes eindeutige Manu-Zertifikat wird im cBR-8-Speicher gespeichert, und seine Informationen können über cBR-8-CLI-Befehle und SNMP angezeigt werden.

Wenn das Manu-Zert als vertrauenswürdig markiert ist, hat das zwei wichtige Dinge. Zum einen kann die cBR-8-BPI-Software das abgelaufene Gültigkeitsdatum ignorieren. Zweitens speichert es das Manu-Zertifikat als vertrauenswürdig im cBR-8 NVRAM. Auf diese Weise bleibt der Manu Cert-Status bei einem cBR-8-Neuladen erhalten, und es ist nicht erforderlich, diesen Vorgang im Fall eines cBR-8-Neuladens zu wiederholen.

Die CLI- und SNMP-Befehlsbeispiele zeigen, wie ein Manu Cert-Index, eine Seriennummer und ein Vertrauensstatus identifiziert werden können. verwenden Sie diese Informationen, um den Vertrauensstatus in vertrauenswürdig zu ändern. Die Beispiele konzentrieren sich auf das Manu-Zertifikat mit Index 4 und der Seriennummer 437498F09A7DCBC1FA7AA101FE976E40.

Anzeigen von Mandantenzertifikatinformationen über die cBR-8-CLI

In diesem Beispiel wird der CLI-Befehl show cable privacy hersteller-cert-list verwendet.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

Anzeigen von Mandantenzertifikatinformationen mit SNMP über die cBR-8-CLI

In diesem Beispiel wird der CLI-Befehl snmp get-bulk verwendet. Die CERT-Indizes 4 und 5 sind die im CMTS-Speicher gespeicherten Manu-Zertifikate. Die Indizes 1, 2 und 3 sind Stammzertifikate. Stammzertifikate sind hier nicht von Belang, da ihre Ablaufdaten wesentlich länger sind. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

Anzeigen von Mandu-Zertifikatinformationen mit SNMP von einem Remote-Gerät

In den SNMP-Beispielen für Remote-Geräte in diesem Dokument werden SNMP-Befehle von einem Remote-Ubuntu Linux-Server verwendet. Bestimmte SNMP-Befehle und -Formate hängen vom Gerät und Betriebssystem ab, das zur Ausführung der SNMP-Befehle verwendet wird.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

Identifizieren des Enddatums der manuellen Zertifikatsvalidierung in der CLI

Verwenden Sie den CLI-Befehl show crypto pki Certificates der cBR-8-Linecard, um das Gültigkeitsenddatum des Manu-Zertifikats zu identifizieren. Diese Befehlsausgabe enthält nicht den Manu Cert Index. Die Seriennummer des Zertifikats kann verwendet werden, um die über diesen Befehl abgerufenen Manu Cert-Informationen mit den über das SNMP abgerufenen Manu Cert-Informationen zu korrelieren.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Vertrauenswürdigen Status für Mandu-Zertifikat festlegen

In den Beispielen wird der Vertrauensstellungsstatus für das Manu-Zertifikat mit Index = 4 und der Seriennummer = 437498f09a7dcbc1fa7aa101fe976e40 von "verkettet" in "vertrauenswürdig" geändert

OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 Werte:

1: vertrauenswürdig
2: unvertraut
3: verkettet
4: Wurzel

In diesem Beispiel wird der Befehl cBR-8 CLI snmp-set zum Ändern des Vertrauensstatus verwendet

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Dieses Beispiel zeigt, wie ein Remote-Gerät SNMP verwendet, um den Vertrauensstatus zu ändern

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

Bestätigen Sie die manuellen Zertifikatänderungen mit der cBR-8-CLI oder mit SNMP.

• Der Vertrauensstellungswert hat sich von verkettet zu vertrauenswürdig geändert.
• Der Quellwert wurde zu SNMP geändert. Dies bedeutet, dass das Zertifikat zuletzt von SNMP verwaltet wurde und nicht von der BPI-Protokoll-AuthInfo-Nachricht.

In diesem Beispiel wird der CLI-Befehl cBR-8 zur Bestätigung der Änderungen verwendet.

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

Dieses Beispiel zeigt, wie ein Remote-Gerät SNMP verwendet, um die Änderungen zu bestätigen

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

CM-Dienst nach Ablauf eines bekannten Manu-Zertifikats wiederherstellen

Ein bisher bekanntes Manu-Zertifikat ist ein Zertifikat, das bereits in der cBR-8-Datenbank vorhanden ist, in der Regel als Folge von AuthInfo-Meldungen aus der vorherigen CM-Registrierung. Wenn ein Manu-Zertifikat nicht als vertrauenswürdig markiert ist und abläuft, kann ein CM, der das abgelaufene Manu-Zertifikat verwendet und offline geht, sich nicht erneut registrieren und ist als reject(pk) markiert. In diesem Abschnitt wird beschrieben, wie Sie sich von diesem Zustand erholen und CMs mit abgelaufenen Manu-Zertifikaten erlauben, sich zu registrieren und im Betrieb zu bleiben.

Wenn CMs nicht online gehen können und aufgrund abgelaufener Manu-Zertifikate als reject(pk) (zurückgewiesen) gekennzeichnet sind, wird eine Syslog-Meldung generiert, die die CM-MAC-Adresse und die abgelaufene Seriennummer des Manu-Zertifikats enthält.

Ermitteln Sie die abgelaufene Seriennummer des Manu-Zertifikats aus der cBR-8-Protokollmeldung.

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

Identifizieren Sie den Index für das abgelaufene Manu-Zertifikat, und setzen Sie den Vertrauensstatus für das Manu-Zertifikat auf Vertrauenswürdig.

Dieses Beispiel zeigt die cBR-8 CLI SNMP-Befehle, die verwendet werden, um den Index für die Manu Cert-Seriennummer aus der Protokollmeldung zu identifizieren, die dann verwendet wird, um den Vertrauensstatus von Manu Cert auf vertrauenswürdig festzulegen.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Dieses Beispiel zeigt, wie ein Remote-Gerät SNMP-Befehle verwendet, um den Index für die Seriennummer des Manu-Zertifikats aus der Protokollmeldung zu identifizieren, die dann verwendet wird, um den Vertrauensstatus des Manu-Zertifikats auf vertrauenswürdig festzulegen.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

Installation eines unbekannten abgelaufenen Manu-Zertifikats auf dem cBR-8 und Markierung vertrauenswürdiger Zertifikate

Wenn ein abgelaufenes Manu-Zertifikat dem cBR-8 nicht bekannt ist, kann es vor dem Ablauf nicht verwaltet (als vertrauenswürdig markiert) und nicht wiederhergestellt werden. Dies geschieht, wenn ein CM, der zuvor unbekannt und nicht auf einem cBR-8 registriert war, versucht, sich bei einem unbekannten und abgelaufenen Manu-Zertifikat zu registrieren. Das Manu-Zertifikat muss dem cBR-8 per SNMP von einem Remote-Gerät hinzugefügt werden, oder Sie verwenden die Konfiguration der cBR-8-Kabelschnittstelle, um das Hinzufügen eines abgelaufenen Manu-Zertifikats durch AuthInfo zu ermöglichen. Die cBR-8-CLI-SNMP-Befehle können nicht zum Hinzufügen eines Zertifikats verwendet werden, da die Anzahl der Zeichen in den Zertifikatdaten die von der CLI akzeptierten maximal zulässigen Zeichen überschreitet.  Wenn ein selbstsigniertes Zertifikat hinzugefügt wird, muss der Befehl cable privacy accept-self-signed-certificate unter der cBR-8-Kabelschnittstelle konfiguriert werden, bevor cBR-8 das Zertifikat akzeptieren kann. 

Hinzufügen eines abgelaufenen Manu-Zertifikats zum cBR-8 mit SNMP

Verwenden Sie diese docsBpi2CmtsCACertTable-OID-Werte, um das Manu Cert als neuen Tabelleneintrag hinzuzufügen. Der Hexadezimalwert des Manu Cert, der von der OID docsBpi2CmtsCACert definiert wird, kann mit den Schritten des CA Certificate Dump gelernt werden, die im Supportartikel How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis (DOCSIS-Zertifikat für die Diagnose des Modemsteckers decodieren) beschrieben werden.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

Verwenden Sie eine eindeutige Indexnummer für das hinzugefügte Manu-Zertifikat. Die bereits auf dem cBR-8 vorhandenen Indizes von Manu Certs können mit dem Befehl show cable privacy hersteller-cert-list überprüft werden.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

In den Beispielen in diesem Abschnitt wird der Indexwert 11 für das Manu-Zertifikat verwendet, das der cBR-8-Datenbank hinzugefügt wurde.

Tipp: Legen Sie die CertStatus-Attribute immer vor den eigentlichen Zertifikatdaten fest. Andernfalls geht das CMTS davon aus, dass das Zertifikat verkettet ist, und versucht sofort, es mit den Herstellern und Stammzertifikaten zu verifizieren.

Einige Betriebssysteme können Eingabezeilen nicht akzeptieren, die so lang sind wie nötig, um die hexadezimale Datenzeichenfolge einzugeben, die ein Zertifikat angibt. Aus diesem Grund kann ein grafischer SNMP-Manager verwendet werden, um diese Attribute festzulegen. Für eine Reihe von Zertifikaten kann eine Skriptdatei verwendet werden, wenn dies praktischer ist.

Dieses Beispiel zeigt, wie ein Remote-Gerät SNMP verwendet, um dem cBR-8 ein Manu Cert-Zertifikat hinzuzufügen. Die meisten Zertifikatsdaten sind aus Gründen der Lesbarkeit festgelegt und durch elipses (...) gekennzeichnet. 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

Zulassen des Hinzufügens eines abgelaufenen Mandu-Zertifikats durch AuthInfo mit einem cBR-8-CLI-Befehl

Ein Manu-Zertifikat gelangt normalerweise durch die vom CM an den cBR-8 gesendete BPI-Protokoll-AuthInfo-Nachricht in die cBR-8-Datenbank. Jedes eindeutige und gültige Manu-Zertifikat, das in einer AuthInfo-Nachricht empfangen wird, wird der Datenbank hinzugefügt. Wenn das Manu-Zertifikat dem CMTS unbekannt ist (nicht in der Datenbank) und das Gültigkeitsdatum abgelaufen ist, wird AuthInfo abgelehnt, und das Manu-Zertifikat wird nicht zur cBR-8-Datenbank hinzugefügt. Ein abgelaufenes Manu-Zertifikat kann vom AuthInfo-Austausch zum CMTS hinzugefügt werden, wenn die Workaround-Konfiguration für Kabeldatenschutz-Zertifikate unter der cBR-8-Kabelschnittstellenkonfiguration vorhanden ist. Dadurch kann das abgelaufene Manu-Zertifikat der cBR-8-Datenbank als nicht vertrauenswürdig hinzugefügt werden. Um das abgelaufene Manu-Zertifikat zu verwenden, muss SNMP verwendet werden, um es als vertrauenswürdig zu markieren. Wenn das abgelaufene Manu-Zertifikat zum cBR-8 hinzugefügt und als vertrauenswürdig markiert wird, wird empfohlen, die Konfiguration für Kabeldatenschutz-Zertifikate mit Fehlern zu entfernen, damit zusätzliche, potenziell unerwünschte Manu-Zertifikate nicht in das System gelangen.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

Abgelaufene CM- und Manu-Zertifikate durch AuthInfo mit einem cBR-8 CLI-Befehl hinzufügen

Ein abgelaufenes CM-Zertifikat kann vom AuthInfo-Austausch zum CMTS hinzugefügt werden, wenn unter jeder relevanten Kabelschnittstelle sowohl die Befehle Kabeldatenschutz - Reservierung fehlgeschlagener Zertifikate als auch Kabeldatenschutz - Übersprunggültigkeitsdauer konfiguriert sind. Dadurch ignoriert der cBR-8 abgelaufene Gültigkeitsprüfungen für ALLE CM- und Manu-Zertifikate, die in der CM-BPI-AuthInfo-Nachricht gesendet wurden. Wenn die abgelaufenen CM- und Manu-Zertifikate zum cBR-8 hinzugefügt und als vertrauenswürdig gekennzeichnet werden, wird das Entfernen der beschriebenen Konfiguration empfohlen, damit zusätzliche, potenziell unerwünschte Zertifikate nicht in das System gelangen.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

Zusätzliche Informationen

Überlegungen zur Konfiguration der MAC-Domäne/Kabelschnittstelle

Die Konfigurationsbefehle für die Aufbewahrung fehlgeschlagener Kabel und die Übersprunggültigkeitsdauer für die Kabeldaten werden auf Ebene der MAC-Domäne/Kabelschnittstelle verwendet und sind nicht einschränkend. Mit dem Befehl zum Beibehalten fehlgeschlagener Zertifikate kann ein beliebiges fehlerhaftes Zertifikat zur cBR-8-Datenbank hinzugefügt werden. Mit dem Befehl zum Überspringen der Gültigkeitsdauer können Gültigkeitsprüfungen für alle Manu- und CM-Zertifikate übersprungen werden.

Überlegungen zur SNMP-Paketgröße

Ein SNMP get für CERT-Daten kann einen NULL-Wert zurückgeben, wenn Cert OctetString größer als die SNMP-Paketgröße ist. Bei Verwendung großer Zertifikate kann eine cBR-8-SNMP-Konfiguration verwendet werden.

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Manu Cert Debug

Manu Cert debug auf dem cBR-8 wird mit den Befehlen debug cable privacy ca-cert and debug cable mac-address <CM mac-address> unterstützt. Weitere Informationen zum Debuggen finden Sie im Support-Artikel How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis (Wie dekodiert man das DOCSIS-Zertifikat für die Diagnose des Modemsteckers?). Dies beinhaltet die Schritte zum Erstellen von Zertifizierungsstellenzertifikaten, mit denen der Hexadezimalwert eines Manu-Zertifikats ermittelt wird.

Zugehörige Support-Dokumentation

• DOCSIS 1.1 für Cisco CMTS-Router bietet zusätzliche Informationen zur cBR-8-Unterstützung und -Konfiguration von DOCSIS Baseline Privacy Interface (BPI+).
• Cisco CMTS Cable Command Reference bietet Informationen zu cBR-8 CLI-Befehlen, auf die in diesem Dokument Bezug genommen wird.
• Work Around and Recover Abgelaufene Herstellerzertifikate auf uBR10K bietet ähnliche Informationen wie dieses Dokument für den uBR10K CMTS.
• Technischer Support und Dokumentation für Cisco Systeme