El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe las opciones para prevenir, solucionar y recuperarse de los impactos del servicio de rechazo (pk) del cablemódem (CM) en el Sistema de terminación de cablemódem (CMTS) cBR-8 que resultan de la expiración del Certificado del fabricante (Certificado de Manu).
Hay diferentes causas para que un CM se atasque en el estado reject(pk) en el cBR-8. Una causa es la expiración del certificado de Manu. El certificado Manu se utiliza para la autenticación entre un CM y CMTS. En este documento, un certificado manual es lo que la especificación de seguridad CM-SP-SECv3.0 de DOCSIS 3.0 denomina certificado CA de Fabricante o certificado CA de Fabricante de CableLabs Mfg. Vencimiento significa que la fecha/hora del sistema cBR-8 excede la fecha/hora de finalización de validez del certificado de Manu.
El CMTS marca reject(pk) a un CM que intenta registrarse con el cBR-8 después de que caduque el certificado de Manu y que no está en servicio. Un CM ya registrado con el cBR-8 y en servicio cuando caduca el certificado de Manu puede permanecer en servicio hasta la próxima vez que el CM intente registrarse, lo que puede ocurrir después de un evento sin conexión de CM único, reinicio de cBR-8 Cable Linecard, recarga de cBR-8 u otro evento que desencadene el registro de CM. En ese momento el CM no logra autenticarse, es marcado como reject(pk) por el cBR-8, y no está en servicio.
La información de este documento amplía y reformatea el contenido publicado en Cable Modems y Certificados de Fabricante Vencidos en el Boletín de Producto de cBR-8.
Nota: ID de bug de Cisco CSCvv21785; En algunas versiones de Cisco IOS XE, este error hace que un certificado de Manu confiable falle la validación después de una recarga de cBR-8. En algunos casos, el certificado de Manu está presente pero ya no se encuentra en el estado de confianza. En ese caso, el estado de confianza del certificado de Manu se puede cambiar a confiable con los pasos descritos en este documento. Si el certificado de Manu no está presente en la salida del comando show cable privacy maker-cert-list, el certificado de Manu se puede volver a agregar manualmente o mediante AuthInfo con los pasos descritos en este documento.
La información del certificado de Manu se puede ver a través de los comandos CLI de cBR-8 o los comandos SNMP (protocolo simple de administración de red) de un dispositivo remoto. La CLI de cBR-8 también admite los comandos set, get y get-bulk de SNMP. Estos comandos e información se utilizan en las soluciones descritas en este documento.
La información de Manu Cert se puede ver con estos comandos CLI de cBR-8.
Estos comandos SNMP de Cisco IOS® XE se utilizan desde la CLI de cBR-8 para obtener y establecer OID de SNMP.
Estos comandos de configuración de la interfaz de cable cBR-8 se utilizan para las soluciones y la recuperación descritas en la sección Solución de este documento.
La información de certificado del manual se define en la rama DOCEbpi2CmtsCACertEntry OID 1.3.6.1.2.1.10.127.6.1.2.5.2.1, descrita en SNMP Object Navigator.
OID de SNMP relevantes
docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8
En los ejemplos de comandos, los puntos suspensivos (...) indican que se ha omitido información para facilitar su lectura.
La actualización del firmware de CM es la mejor solución a largo plazo. Las soluciones alternativas descritas en este documento permiten a los CM con certificados Manu caducados registrarse y permanecer en línea con el cBR-8, pero estas soluciones alternativas solo se recomiendan para el uso a corto plazo. Si no se puede actualizar el firmware de CM, una estrategia de sustitución de CM es una buena solución a largo plazo desde el punto de vista de la seguridad y las operaciones. Las soluciones descritas aquí abordan diferentes condiciones o escenarios y pueden utilizarse de forma individual o, en algunos casos, en combinación entre sí;
Nota: Si se elimina BPI, se desactivan el cifrado y la autenticación, lo que minimiza su viabilidad como solución alternativa.
En muchos casos, los fabricantes de CM proporcionan actualizaciones de firmware de CM que amplían la fecha de finalización de validez del certificado de Manu. Esta solución es la mejor opción y, cuando se realiza antes de que caduque un certificado de Manu, evita los impactos de servicio relacionados. Los CM cargan el nuevo firmware y se vuelven a registrar con los nuevos certificados de Manu y CM. Los nuevos certificados pueden autenticarse correctamente y los CM pueden registrarse correctamente con el cBR-8. El nuevo certificado de Manu y el certificado de CM pueden crear una nueva cadena de certificados hasta el certificado raíz conocido ya instalado en el cBR-8.
Cuando una actualización de firmware CM no está disponible debido a que un fabricante de CM ha dejado de trabajar, no hay más soporte para un modelo CM, etc., los certificados de Manu ya conocidos en el cBR-8 con fechas de finalización de validez en un futuro próximo pueden marcarse proactivamente como fiables en el cBR-8 antes de la fecha de finalización de validez. Los comandos CLI y SNMP de cBR-8 se utilizan para identificar la información de certificado de Manu, como el número de serie y el estado de confianza, y SNMP se utiliza para establecer el estado de confianza de certificado de Manu en confiable en cBR-8, lo que permite que los CM asociados se registren y permanezcan en servicio.
Los certificados de manual conocidos para los CM en servicio y en línea actualmente los aprende normalmente el cBR-8 de un CM a través del protocolo DOCSIS Baseline Privacy Interface (BPI). El mensaje AuthInfo enviado desde el CM al cBR-8 contiene el certificado Manu. Cada certificado de manual único se almacena en la memoria cBR-8 y su información se puede ver mediante los comandos CLI de cBR-8 y SNMP.
Cuando el certificado de Manu se marca como confiable, eso hace dos cosas importantes. En primer lugar, permite que el software cBR-8 BPI ignore la fecha de validez caducada. En segundo lugar, almacena el certificado de Manu como confiable en la NVRAM cBR-8. Esto preserva el estado de certificado de Manu a través de una recarga cBR-8 y elimina la necesidad de repetir este procedimiento en el caso de una recarga cBR-8.
Los ejemplos de comandos CLI y SNMP muestran cómo identificar un índice de certificado de manual, un número de serie y un estado de confianza; a continuación, utilice esa información para cambiar el estado de confianza a confiable. Los ejemplos se centran en el certificado de Manu con el índice 4 y el número de serie 437498F09A7DCBC1FA7AA101FE976E40.
En este ejemplo se utiliza el comando cBR-8 CLI show cable privacy maker-cert-list.
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B
Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 701F760559283586AC9B0E2666562F0E
Thumbprint: E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982
En este ejemplo se utiliza el comando de CLI cBR-8 snmp get-bulk. Los índices de certificado 4 y 5 son los certificados de manual almacenados en la memoria CMTS. Los índices 1, 2 y 3 son certificados raíz. Los certificados raíz no son la preocupación aquí, ya que sus fechas de vencimiento son mucho más largas.
docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS
docsBpi2CmtsCACertSubject.3 = CableLabs
docsBpi2CmtsCACertSubject.4 = Motorola
docsBpi2CmtsCACertSubject.5 = CableLabs
docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.1 = 4
docsBpi2CmtsCACertTrust.2 = 4
docsBpi2CmtsCACertTrust.3 = 4
docsBpi2CmtsCACertTrust.4 = 3 (3 = chained)
docsBpi2CmtsCACertTrust.5 = 3
docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0
docsBpi2CmtsCACertSource.1 = 4
docsBpi2CmtsCACertSource.2 = 4
docsBpi2CmtsCACertSource.3 = 4
docsBpi2CmtsCACertSource.4 = 5 (5 = authentInfo)
docsBpi2CmtsCACertSource.5 = 5
docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0
docsBpi2CmtsCACertStatus.1 = 1
docsBpi2CmtsCACertStatus.2 = 1
docsBpi2CmtsCACertStatus.3 = 1
docsBpi2CmtsCACertStatus.4 = 1 (1 = active)
docsBpi2CmtsCACertStatus.5 = 1
Los ejemplos de SNMP de dispositivos remotos de este documento utilizan comandos SNMP de un servidor Linux Ubuntu remoto. Los formatos y comandos SNMP específicos dependen del dispositivo y del sistema operativo utilizados para ejecutar los comandos SNMP.
docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"
docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"
docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3 (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3
docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5 (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5
docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1 (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1
Utilice el comando CLI de la tarjeta de línea cBR-8 show crypto pki certificates para identificar la fecha final de validez del certificado de Manu. Este resultado del comando no incluye el Índice de certificados del manual. El Número de serie del certificado se puede utilizar para correlacionar la información de certificado de Manu aprendida de este comando con la información de certificado de Manu aprendida de SNMP.
CBR8-1#request platform software console attach
request platform software console attach 6/0
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Device Certification Authority
ou=Device CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2049
Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23
CA Certificate
Status: Available
Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Motorola Corporation Cable Modem Root Certificate Authority
ou=ASG
ou=DOCSIS
l=San Diego
st=California
o=Motorola Corporation
c=US
Validity Date:
start date: 00:00:00 GMT Jul 11 2001
end date: 23:59:59 GMT Jul 10 2021
Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f
CA Certificate
Status: Available
Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2064
Associated Trustpoints: DOCSIS-D31-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
Certificate Usage: Signature
Issuer:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE Subject:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE
Validity Date:
start date: 00:00:00 GMT Sep 21 2001
end date: 23:59:59 GMT Sep 20 2031
Associated Trustpoints: DOCSIS-EU-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Validity Date:
start date: 00:00:00 GMT Feb 1 2001
end date: 23:59:59 GMT Jan 31 2031
Associated Trustpoints: DOCSIS-US-TRUSTPOINT
Los ejemplos muestran el estado de confianza cambiado de encadenado a confiable para el certificado de Manu con Índice = 4 y Número de serie = 437498f09a7dcbc1fa7aa101fe976e40
OID: valores de docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5:
1: de confianza
2: no confiable
3: encadenado
4: raíz
Este ejemplo muestra el comando snmp-set de cBR-8 CLI utilizado para cambiar el estado de confianza
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2305483, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Este ejemplo muestra un dispositivo remoto que utiliza SNMP para cambiar el estado de confianza
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Este ejemplo muestra el comando CLI cBR-8 utilizado para confirmar los cambios
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...
Este ejemplo muestra un dispositivo remoto que utiliza SNMP para confirmar los cambios
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1 (1 = snmp)
Un certificado Manu conocido anteriormente es un certificado que ya está presente en la base de datos cBR-8, generalmente como resultado de mensajes AuthInfo del registro CM anterior. Si un certificado de Manu no está marcado como de confianza y caduca, cualquier CM que utilice el certificado de Manu caducado y se desconecte no podrá volver a registrarse y se marcará como reject(pk). Esta sección describe cómo recuperarse de esta condición y permitir que los CM con certificados Manu caducados se registren y permanezcan en servicio.
Cuando los CM no se conectan y se marcan como reject(pk) como resultado de los certificados de Manu caducados, se genera un mensaje de syslog que contiene la dirección MAC de CM y el número de serie del certificado de Manu caducado.
CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired
En este ejemplo se muestran los comandos SNMP de CLI de cBR-8 utilizados para identificar el índice del número de serie del certificado de Manu a partir del mensaje de registro, que se utiliza a continuación para establecer el estado de confianza del certificado de Manu en confiable.
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2351849, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2353143, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
En este ejemplo se muestra un dispositivo remoto que utiliza comandos SNMP para identificar el índice del número de serie del certificado de Manu a partir del mensaje de registro, que se utiliza para establecer el estado de confianza del certificado de Manu en confiable.
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Cuando el cBR-8 desconoce un certificado de Manu caducado, no se puede administrar (marcar como de confianza) antes de la expiración y no se puede recuperar. Esto sucede cuando un CM que anteriormente es desconocido y no está registrado en un cBR-8 intenta registrarse con un certificado Manu desconocido y caducado. SNMP debe agregar el certificado de Manu al cBR-8 desde un dispositivo remoto o utilizar la configuración de la interfaz de cable cable privacy keep-failed-certificates cBR-8 para permitir que AuthInfo agregue un certificado de Manu caducado. Los comandos cBR-8 CLI SNMP no se pueden utilizar para agregar un certificado porque el número de caracteres en los datos del certificado excede el número máximo de caracteres aceptados por la CLI. Si se agrega un certificado autofirmado, se debe configurar el comando cable privacy accept-self-signed-certificate en la interfaz de cable cBR-8 para que cBR-8 pueda aceptar el certificado.
Utilice estos valores OID docsBpi2CmtsCACertTable para agregar el certificado de Manu como una nueva entrada de tabla. El valor hexadecimal del certificado de Manu definido por el OID docsBpi2CmtsCACert se puede aprender con los pasos del volcado de certificado de CA descritos en el artículo de soporte Cómo descodificar el certificado DOCSIS para el diagnóstico de estado de bloqueo del módem.
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)
Utilice un número de índice único para el certificado de Manu agregado. Los índices de Manu Certs ya presentes en el cBR-8 se pueden verificar con el comando show cable privacy maker-cert-list.
CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7
Los ejemplos de esta sección utilizan un valor de índice de 11 para el certificado de manual agregado a la base de datos cBR-8.
Consejo: Establezca siempre los atributos CertStatus antes de los datos del certificado real. De lo contrario, el CMTS asume que el certificado está encadenado e intenta verificarlo inmediatamente con los fabricantes y los certificados raíz.
Algunos sistemas operativos no pueden aceptar líneas de entrada que sean tan largas como sea necesario para especificar la cadena de datos hexadecimal que especifica un certificado. Por esta razón, se puede utilizar un administrador gráfico SNMP para establecer estos atributos. Si es más conveniente, se puede utilizar un archivo de secuencia de comandos para varios certificados.
Este ejemplo muestra un dispositivo remoto que utiliza SNMP para agregar un certificado de certificado de Manu al cBR-8. La mayoría de los datos del certificado se envían para facilitar su lectura, lo que se indica mediante puntos suspensivos (...).
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1
Normalmente, un certificado de manual ingresa a la base de datos cBR-8 por el mensaje BPI Protocol AuthInfo enviado al cBR-8 desde el CM. Cada certificado de Manu único y válido recibido en un mensaje AuthInfo se agrega a la base de datos. Si el CMTS desconoce el certificado de Manu (no se encuentra en la base de datos) y tiene fechas de validez vencidas, se rechaza AuthInfo y el certificado de Manu no se agrega a la base de datos cBR-8. El intercambio AuthInfo puede agregar un certificado de Manu caducado al CMTS cuando la configuración de la solución alternativa cable privacy keep-failed-certificates está presente en la configuración de la interfaz de cable cBR-8. Esto permite agregar el certificado de manual caducado a la base de datos cBR-8 como no confiable. Para utilizar el certificado de Manu caducado, se debe utilizar SNMP para marcarlo como confiable. Cuando el certificado de Manu caducado se agrega al cBR-8 y se marca como confiable, se recomienda la eliminación de la configuración de cable privacy keep-failed-certificates para que no entren en el sistema certificados de Manu adicionales, potencialmente no deseados.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end
El intercambio AuthInfo puede agregar un certificado CM caducado al CMTS cuando los comandos cable privacy keep-failed-certificates y cable privacy skip-valid-period se configuran bajo cada interfaz de cable relevante. Esto hace que cBR-8 ignore las comprobaciones de fecha de validez caducada para TODOS los certificados CM y Manu enviados en el mensaje CM BPI AuthInfo. Cuando los certificados CM y Manu caducados se agregan a cBR-8 y se marcan como fiables, se recomienda eliminar la configuración descrita para que no entren en el sistema certificados adicionales, potencialmente no deseados.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start
Los comandos de configuración cable privacy keep-failed-certificates y cable privacy skip-validation-period se utilizan en el nivel de interfaz de cable / dominio MAC y no son restrictivos. El comando keep-failed-certificates puede agregar cualquier certificado fallido a la base de datos cBR-8 y el comando skip-validez-period puede omitir las comprobaciones de fecha de validez en todos los certificados de Manu y CM.
Un comando get de SNMP para datos de certificado puede devolver un valor NULL si Cert OctetString es mayor que el tamaño del paquete SNMP. Se puede utilizar una configuración cBR-8 SNMP cuando se utilizan certificados de gran tamaño;
CBR8-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start
El debug de certificado de Manu en cBR-8 se soporta con los comandos debug cable privacy ca-cert y debug cable mac-address <CM mac-address>. La información de depuración adicional se explica en el artículo de soporte Cómo descodificar el certificado DOCSIS para el diagnóstico de estado de bloqueo del módem. Esto incluye los pasos de volcado de certificados de la CA que se utilizan para aprender el valor hexadecimal de un certificado manual.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
2.0 |
08-Dec-2021
|
Agregue una nota para el ID de bug de Cisco CSCvv21785. Cambios de formato menores. |
1.0 |
30-Nov-2021
|
Versión inicial |