Solución y recuperación de certificados de fabricante caducados en cBR-8

Introducción

Este documento describe las opciones para prevenir, solucionar y recuperarse de los impactos del servicio de rechazo (pk) del cablemódem (CM) en el Sistema de terminación de cablemódem (CMTS) cBR-8 que resultan de la expiración del Certificado del fabricante (Certificado de Manu).

Problema

Hay diferentes causas para que un CM se atasque en el estado reject(pk) en el cBR-8. Una causa es la expiración del certificado de Manu. El certificado Manu se utiliza para la autenticación entre un CM y CMTS. En este documento, un certificado manual es lo que la especificación de seguridad CM-SP-SECv3.0 de DOCSIS 3.0 denomina certificado CA de Fabricante o certificado CA de Fabricante de CableLabs Mfg. Vencimiento significa que la fecha/hora del sistema cBR-8 excede la fecha/hora de finalización de validez del certificado de Manu.

El CMTS marca reject(pk) a un CM que intenta registrarse con el cBR-8 después de que caduque el certificado de Manu y que no está en servicio. Un CM ya registrado con el cBR-8 y en servicio cuando caduca el certificado de Manu puede permanecer en servicio hasta la próxima vez que el CM intente registrarse, lo que puede ocurrir después de un evento sin conexión de CM único, reinicio de cBR-8 Cable Linecard, recarga de cBR-8 u otro evento que desencadene el registro de CM. En ese momento el CM no logra autenticarse, es marcado como reject(pk) por el cBR-8, y no está en servicio.

La información de este documento amplía y reformatea el contenido publicado en Cable Modems y Certificados de Fabricante Vencidos en el Boletín de Producto de cBR-8.

Nota: ID de bug de Cisco CSCvv21785; En algunas versiones de Cisco IOS XE, este error hace que un certificado de Manu confiable falle la validación después de una recarga de cBR-8. En algunos casos, el certificado de Manu está presente pero ya no se encuentra en el estado de confianza. En ese caso, el estado de confianza del certificado de Manu se puede cambiar a confiable con los pasos descritos en este documento. Si el certificado de Manu no está presente en la salida del comando show cable privacy maker-cert-list, el certificado de Manu se puede volver a agregar manualmente o mediante AuthInfo con los pasos descritos en este documento.

Información de certificado de Manu

La información del certificado de Manu se puede ver a través de los comandos CLI de cBR-8 o los comandos SNMP (protocolo simple de administración de red) de un dispositivo remoto. La CLI de cBR-8 también admite los comandos set, get y get-bulk de SNMP. Estos comandos e información se utilizan en las soluciones descritas en este documento.

Campos y atributos de información de certificado de Manu

• Índice: Un entero único asignado a cada certificado de manual en la base de datos/MIB cBR-8
• Asunto:  El nombre del sujeto exactamente como está codificado en el certificado X509
  
  • cn: CommonName
  • ou: Unidad organizativa
  • o: Organización
  • l: Localidad
  • s: NombreProvinciaOEstado
  • c: NombrePaís
• Emisor: La autoridad de certificación
• Serie: Número de serie de certificado representado en una cadena de octetos hexadecimal
• Estado: El estado de confianza del certificado
  
  • de confianza
  • no confiable
  • encadenado
  • raíz
• Fuente: Cómo llegó el certificado al CMTS
  
  • snmp
  • archivoDeConfiguración
  • externalDatabase
  • otro
  • authentInfo
  • compiledInfoCode
• Estado/RowStatus: Estado del certificado
  
  • activo
  • notInService
  • notReady
  • createAndGo
  • create and Wait
  • destruir

• Certificado: El certificado de autoridad de certificados X509 con codificación DER
• Fecha de validez: Las fechas de inicio y finalización que definen el período de validez del certificado de Manu en relación con la fecha y hora del sistema CMTS
  
  • fecha de inicio: La fecha y hora en la que el certificado de Manu pasa a ser válido
  • fecha de finalización: La fecha y hora en la que el certificado de Manu ya no es válido
• Certificado: El certificado de autoridad de certificados X509 con codificación DER
• Huella digital: Hash SHA-1 de un certificado de CA

Comandos CLI de cBR-8

La información de Manu Cert se puede ver con estos comandos CLI de cBR-8.

• Desde el modo exec CLI cBR-8 o el modo exec CLI de Linecard: CBR8-1#show cable privacy maker-cert-list
• Desde el modo de ejecución CLI de cBR-8 Linecard: Slot-6-0#show crypto pki certificates

Estos comandos SNMP de Cisco IOS® XE se utilizan desde la CLI de cBR-8 para obtener y establecer OID de SNMP.

• get de snmp
• snmp get-bulk
• set de snmp

Estos comandos de configuración de la interfaz de cable cBR-8 se utilizan para las soluciones y la recuperación descritas en la sección Solución de este documento.

• cable privacy keep-failed-certificates
• cable privacy skip-valid-period

OID DOCSIS-BPI-PLUS-MIB

La información de certificado del manual se define en la rama DOCEbpi2CmtsCACertEntry OID 1.3.6.1.2.1.10.127.6.1.2.5.2.1, descrita en SNMP Object Navigator.

OID de SNMP relevantes

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

En los ejemplos de comandos, los puntos suspensivos (...) indican que se ha omitido información para facilitar su lectura.

Solución

La actualización del firmware de CM es la mejor solución a largo plazo. Las soluciones alternativas descritas en este documento permiten a los CM con certificados Manu caducados registrarse y permanecer en línea con el cBR-8, pero estas soluciones alternativas solo se recomiendan para el uso a corto plazo. Si no se puede actualizar el firmware de CM, una estrategia de sustitución de CM es una buena solución a largo plazo desde el punto de vista de la seguridad y las operaciones. Las soluciones descritas aquí abordan diferentes condiciones o escenarios y pueden utilizarse de forma individual o, en algunos casos, en combinación entre sí;

• Actualizar firmware de CM
• Establecer un certificado de Manu conocido como de confianza
• Recuperar el servicio CM después de que caduque un certificado de Manu conocido
• Instale un certificado de manual caducado desconocido en cBR-8 y marque como de confianza

• Permitir que los certificados CM y los certificados Manu caducados se agreguen mediante AuthInfo con un comando CLI cBR-8

Nota: Si se elimina BPI, se desactivan el cifrado y la autenticación, lo que minimiza su viabilidad como solución alternativa.

Actualizar firmware de CM

En muchos casos, los fabricantes de CM proporcionan actualizaciones de firmware de CM que amplían la fecha de finalización de validez del certificado de Manu. Esta solución es la mejor opción y, cuando se realiza antes de que caduque un certificado de Manu, evita los impactos de servicio relacionados. Los CM cargan el nuevo firmware y se vuelven a registrar con los nuevos certificados de Manu y CM. Los nuevos certificados pueden autenticarse correctamente y los CM pueden registrarse correctamente con el cBR-8. El nuevo certificado de Manu y el certificado de CM pueden crear una nueva cadena de certificados hasta el certificado raíz conocido ya instalado en el cBR-8.

Establecer un certificado de Manu conocido como de confianza

Cuando una actualización de firmware CM no está disponible debido a que un fabricante de CM ha dejado de trabajar, no hay más soporte para un modelo CM, etc., los certificados de Manu ya conocidos en el cBR-8 con fechas de finalización de validez en un futuro próximo pueden marcarse proactivamente como fiables en el cBR-8 antes de la fecha de finalización de validez. Los comandos CLI y SNMP de cBR-8 se utilizan para identificar la información de certificado de Manu, como el número de serie y el estado de confianza, y SNMP se utiliza para establecer el estado de confianza de certificado de Manu en confiable en cBR-8, lo que permite que los CM asociados se registren y permanezcan en servicio.

Los certificados de manual conocidos para los CM en servicio y en línea actualmente los aprende normalmente el cBR-8 de un CM a través del protocolo DOCSIS Baseline Privacy Interface (BPI). El mensaje AuthInfo enviado desde el CM al cBR-8 contiene el certificado Manu. Cada certificado de manual único se almacena en la memoria cBR-8 y su información se puede ver mediante los comandos CLI de cBR-8 y SNMP.

Cuando el certificado de Manu se marca como confiable, eso hace dos cosas importantes. En primer lugar, permite que el software cBR-8 BPI ignore la fecha de validez caducada. En segundo lugar, almacena el certificado de Manu como confiable en la NVRAM cBR-8. Esto preserva el estado de certificado de Manu a través de una recarga cBR-8 y elimina la necesidad de repetir este procedimiento en el caso de una recarga cBR-8.

Los ejemplos de comandos CLI y SNMP muestran cómo identificar un índice de certificado de manual, un número de serie y un estado de confianza; a continuación, utilice esa información para cambiar el estado de confianza a confiable. Los ejemplos se centran en el certificado de Manu con el índice 4 y el número de serie 437498F09A7DCBC1FA7AA101FE976E40.

Ver la información de certificados del manual desde la CLI de cBR-8

En este ejemplo se utiliza el comando cBR-8 CLI show cable privacy maker-cert-list.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

Ver la información de certificados del manual con SNMP desde la CLI de cBR-8

En este ejemplo se utiliza el comando de CLI cBR-8 snmp get-bulk. Los índices de certificado 4 y 5 son los certificados de manual almacenados en la memoria CMTS. Los índices 1, 2 y 3 son certificados raíz. Los certificados raíz no son la preocupación aquí, ya que sus fechas de vencimiento son mucho más largas. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

Ver la información de certificados del manual con SNMP desde un dispositivo remoto

Los ejemplos de SNMP de dispositivos remotos de este documento utilizan comandos SNMP de un servidor Linux Ubuntu remoto. Los formatos y comandos SNMP específicos dependen del dispositivo y del sistema operativo utilizados para ejecutar los comandos SNMP.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

Identificar la fecha de finalización de la validez del certificado manual en la CLI

Utilice el comando CLI de la tarjeta de línea cBR-8 show crypto pki certificates para identificar la fecha final de validez del certificado de Manu. Este resultado del comando no incluye el Índice de certificados del manual. El Número de serie del certificado se puede utilizar para correlacionar la información de certificado de Manu aprendida de este comando con la información de certificado de Manu aprendida de SNMP.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Establecer el estado de confianza de certificado de Manu en Confianza

Los ejemplos muestran el estado de confianza cambiado de encadenado a confiable para el certificado de Manu con Índice = 4 y Número de serie = 437498f09a7dcbc1fa7aa101fe976e40

OID: valores de docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5:

1: de confianza
2: no confiable
3: encadenado
4: raíz

Este ejemplo muestra el comando snmp-set de cBR-8 CLI utilizado para cambiar el estado de confianza

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Este ejemplo muestra un dispositivo remoto que utiliza SNMP para cambiar el estado de confianza

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

Confirme los cambios de certificado manual con la CLI cBR-8 o con SNMP

• El valor de confianza cambió de encadenado a confiable
• El valor de origen cambió a SNMP, lo que indica que el certificado fue administrado por última vez por SNMP y no desde el mensaje BPI Protocol AuthInfo

Este ejemplo muestra el comando CLI cBR-8 utilizado para confirmar los cambios

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

Este ejemplo muestra un dispositivo remoto que utiliza SNMP para confirmar los cambios

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

Recuperar el servicio CM después de que caduque un certificado de Manu conocido

Un certificado Manu conocido anteriormente es un certificado que ya está presente en la base de datos cBR-8, generalmente como resultado de mensajes AuthInfo del registro CM anterior. Si un certificado de Manu no está marcado como de confianza y caduca, cualquier CM que utilice el certificado de Manu caducado y se desconecte no podrá volver a registrarse y se marcará como reject(pk). Esta sección describe cómo recuperarse de esta condición y permitir que los CM con certificados Manu caducados se registren y permanezcan en servicio.

Cuando los CM no se conectan y se marcan como reject(pk) como resultado de los certificados de Manu caducados, se genera un mensaje de syslog que contiene la dirección MAC de CM y el número de serie del certificado de Manu caducado.

Identifique el número de serie de certificado de manual caducado en el mensaje de registro cBR-8

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

Identifique el índice para el certificado de Manu caducado y establezca el estado de confianza del certificado de Manu como fiable

En este ejemplo se muestran los comandos SNMP de CLI de cBR-8 utilizados para identificar el índice del número de serie del certificado de Manu a partir del mensaje de registro, que se utiliza a continuación para establecer el estado de confianza del certificado de Manu en confiable.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

En este ejemplo se muestra un dispositivo remoto que utiliza comandos SNMP para identificar el índice del número de serie del certificado de Manu a partir del mensaje de registro, que se utiliza para establecer el estado de confianza del certificado de Manu en confiable.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

Instale un certificado de manual caducado desconocido en cBR-8 y marque como de confianza

Cuando el cBR-8 desconoce un certificado de Manu caducado, no se puede administrar (marcar como de confianza) antes de la expiración y no se puede recuperar. Esto sucede cuando un CM que anteriormente es desconocido y no está registrado en un cBR-8 intenta registrarse con un certificado Manu desconocido y caducado. SNMP debe agregar el certificado de Manu al cBR-8 desde un dispositivo remoto o utilizar la configuración de la interfaz de cable cable privacy keep-failed-certificates cBR-8 para permitir que AuthInfo agregue un certificado de Manu caducado. Los comandos cBR-8 CLI SNMP no se pueden utilizar para agregar un certificado porque el número de caracteres en los datos del certificado excede el número máximo de caracteres aceptados por la CLI.  Si se agrega un certificado autofirmado, se debe configurar el comando cable privacy accept-self-signed-certificate en la interfaz de cable cBR-8 para que cBR-8 pueda aceptar el certificado. 

Agregar un certificado de manual caducado al cBR-8 con SNMP

Utilice estos valores OID docsBpi2CmtsCACertTable para agregar el certificado de Manu como una nueva entrada de tabla. El valor hexadecimal del certificado de Manu definido por el OID docsBpi2CmtsCACert se puede aprender con los pasos del volcado de certificado de CA descritos en el artículo de soporte Cómo descodificar el certificado DOCSIS para el diagnóstico de estado de bloqueo del módem.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

Utilice un número de índice único para el certificado de Manu agregado. Los índices de Manu Certs ya presentes en el cBR-8 se pueden verificar con el comando show cable privacy maker-cert-list.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

Los ejemplos de esta sección utilizan un valor de índice de 11 para el certificado de manual agregado a la base de datos cBR-8.

Consejo: Establezca siempre los atributos CertStatus antes de los datos del certificado real. De lo contrario, el CMTS asume que el certificado está encadenado e intenta verificarlo inmediatamente con los fabricantes y los certificados raíz.

Algunos sistemas operativos no pueden aceptar líneas de entrada que sean tan largas como sea necesario para especificar la cadena de datos hexadecimal que especifica un certificado. Por esta razón, se puede utilizar un administrador gráfico SNMP para establecer estos atributos. Si es más conveniente, se puede utilizar un archivo de secuencia de comandos para varios certificados.

Este ejemplo muestra un dispositivo remoto que utiliza SNMP para agregar un certificado de certificado de Manu al cBR-8. La mayoría de los datos del certificado se envían para facilitar su lectura, lo que se indica mediante puntos suspensivos (...). 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

Permitir que un certificado de manual caducado sea agregado por AuthInfo con un comando CLI cBR-8

Normalmente, un certificado de manual ingresa a la base de datos cBR-8 por el mensaje BPI Protocol AuthInfo enviado al cBR-8 desde el CM. Cada certificado de Manu único y válido recibido en un mensaje AuthInfo se agrega a la base de datos. Si el CMTS desconoce el certificado de Manu (no se encuentra en la base de datos) y tiene fechas de validez vencidas, se rechaza AuthInfo y el certificado de Manu no se agrega a la base de datos cBR-8. El intercambio AuthInfo puede agregar un certificado de Manu caducado al CMTS cuando la configuración de la solución alternativa cable privacy keep-failed-certificates está presente en la configuración de la interfaz de cable cBR-8. Esto permite agregar el certificado de manual caducado a la base de datos cBR-8 como no confiable. Para utilizar el certificado de Manu caducado, se debe utilizar SNMP para marcarlo como confiable. Cuando el certificado de Manu caducado se agrega al cBR-8 y se marca como confiable, se recomienda la eliminación de la configuración de cable privacy keep-failed-certificates para que no entren en el sistema certificados de Manu adicionales, potencialmente no deseados.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

Permitir que los certificados CM y los certificados Manu caducados se agreguen mediante AuthInfo con un comando CLI cBR-8

El intercambio AuthInfo puede agregar un certificado CM caducado al CMTS cuando los comandos cable privacy keep-failed-certificates y cable privacy skip-valid-period se configuran bajo cada interfaz de cable relevante. Esto hace que cBR-8 ignore las comprobaciones de fecha de validez caducada para TODOS los certificados CM y Manu enviados en el mensaje CM BPI AuthInfo. Cuando los certificados CM y Manu caducados se agregan a cBR-8 y se marcan como fiables, se recomienda eliminar la configuración descrita para que no entren en el sistema certificados adicionales, potencialmente no deseados.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

Additional Information

Consideración de la Configuración de la Interfaz de Cable/Dominio MAC

Los comandos de configuración cable privacy keep-failed-certificates y cable privacy skip-validation-period se utilizan en el nivel de interfaz de cable / dominio MAC y no son restrictivos. El comando keep-failed-certificates puede agregar cualquier certificado fallido a la base de datos cBR-8 y el comando skip-validez-period puede omitir las comprobaciones de fecha de validez en todos los certificados de Manu y CM.

Consideración del Tamaño del Paquete SNMP

Un comando get de SNMP para datos de certificado puede devolver un valor NULL si Cert OctetString es mayor que el tamaño del paquete SNMP. Se puede utilizar una configuración cBR-8 SNMP cuando se utilizan certificados de gran tamaño;

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Depuración de certificado manual

El debug de certificado de Manu en cBR-8 se soporta con los comandos debug cable privacy ca-cert y debug cable mac-address <CM mac-address>. La información de depuración adicional se explica en el artículo de soporte Cómo descodificar el certificado DOCSIS para el diagnóstico de estado de bloqueo del módem. Esto incluye los pasos de volcado de certificados de la CA que se utilizan para aprender el valor hexadecimal de un certificado manual.

Documentación de asistencia relacionada

• DOCSIS 1.1 para los routers Cisco CMTS proporciona información adicional sobre la compatibilidad con cBR-8 y la configuración de la interfaz de privacidad DOCSIS Baseline Privacy Interface (BPI+).
• La Referencia de Comandos de Cable de Cisco CMTS proporciona información sobre los comandos CLI de cBR-8 a los que se hace referencia en este documento.
• Work Around and Recover Expired Manufacturer Certificates en uBR10K proporciona información similar a la de este documento para uBR10K CMTS.
• Soporte Técnico y Documentación - Cisco Systems