Problèmes liés à l'utilisation de PNP avec FND sur Cisco IOS® plus récent ; Versions

Introduction

Ce document décrit comment générer et exporter le certificat correct à partir de l'infrastructure à clé privée Windows (PKI) pour une utilisation combinée avec Plug and Play (PNP) sur Field Network Director (FND).

Problème

Lorsque vous essayez d'utiliser PNP pour effectuer un déploiement automatique (ZTD) sur les nouvelles versions de Cisco IOS® et de Cisco IOS®-XE, le processus échoue avec l'une des erreurs PNP suivantes :

Error while creating FND trustpoint on the device. errorCode: PnP Service Error 3341, 
errorMessage: SSL Server ID check failed after cert-install
Error while creating FND trustpoint on the device. errorCode: PnP Service Error 3337, 
errorMessage: Cant get PnP Hello Response after cert-install

Depuis un certain temps, le code PNP dans Cisco IOS®/Cisco IOS®-XE nécessite que le champ Subject Alternative Name (SAN) soit renseigné dans le certificat offert par PNP-server/controller (FND dans ce cas).

L'agent PNP Cisco IOS® vérifie uniquement l'identité du serveur dans le champ du certificat SAN. Il ne vérifie plus le champ Nom commun (CN).

Ceci est valide pour ces versions :

• Cisco IOS® version 15.2(6)E2 et ultérieure

• Cisco IOS® version 15.6(3)M4 et ultérieure

• Cisco IOS® version 15.7(3)M2 et ultérieure

• Cisco IOS® XE Denali 16.3.6 et versions ultérieures

• Cisco IOS® XE Everest 16.5.3 et versions ultérieures

• Cisco IOS® Everest 16.6.3 et versions ultérieures

• Toutes les versions de Cisco IOS® 16.7.1 et ultérieures

Plus d'informations sont disponibles ici : https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html#id_70663

Solution

La plupart des guides et de la documentation de FND ne mentionnent pas encore que le champ SAN doit être renseigné.

Afin de créer et d'exporter le certificat correct à utiliser avec PNP et de l'ajouter au magasin de clés, suivez ces étapes.

Générer un nouveau certificat à l'aide du modèle FND/NMS sur le serveur AC Windows

Accédez à Démarrer > Exécuter > mmc > Fichier > Ajouter/Supprimer un composant logiciel enfichable... > Certificats > Ajouter > Compte d'ordinateur > Ordinateur local > OK et ouvrez le composant logiciel enfichable MMC Certificats.

Développer les certificats (ordinateur local) > Personnel > Certificats

Cliquez avec le bouton droit sur Certificats et sélectionnez Toutes les tâches > Demander un nouveau certificat... comme le montre l'image.

Cliquez sur Suivant et sélectionnez Stratégie d'inscription Active Directory comme indiqué dans l'image.

Cliquez sur Suivant et sélectionnez le modèle créé pour NMS/FND-server (répétez ultérieurement pour TelePresence Server (TPS)), puis cliquez sur le lien More Information (Plus d'informations) comme indiqué dans l'image.

Dans les propriétés du certificat, fournissez ces informations :

Nom du sujet :

• Organisation : nom de votre organisation
• Nom commun : le nom de domaine complet (FQDN) du serveur FND (ou TPS, le cas échéant)

Autre nom (champ SAN) :

• Si vous utilisez DNS (Domain Name System) pour contacter la partie PNP du serveur FND, ajoutez une entrée DNS pour le nom de domaine complet (FQDN)
• Si vous utilisez IP afin de contacter la partie PNP du serveur FND, ajoutez une entrée IPv4 pour l'IP

Il est recommandé d'inclure plusieurs valeurs SAN dans le certificat, au cas où les méthodes de détection varieraient. Par exemple, vous pouvez inclure le nom de domaine complet du contrôleur et l'adresse IP (ou l'adresse IP NAT) dans le champ SAN. Si vous incluez les deux, définissez le nom de domaine complet (FQDN) comme première valeur SAN, suivie de l'adresse IP.

Exemple de configuration :

Une fois terminé, cliquez sur OK dans la fenêtre Propriétés du certificat, puis Inscrivez afin de générer le certificat et Terminer lorsque la génération est terminée.

Vérifier le champ SAN dans le certificat généré

Pour vérifier si le certificat généré contient les informations correctes, vous pouvez le vérifier comme suit :

Ouvrez le composant logiciel enfichable Certificats dans Microsoft Management Console (MMC) et développez Certificates (Local Computer) > Personal > Certificates.

Double-cliquez sur le certificat généré et ouvrez l'onglet Détails. Faites défiler la page vers le bas pour trouver le champ SAN, comme illustré dans l'image.

Exporter le certificat à importer dans le magasin de clés FND

Avant de pouvoir importer ou remplacer le certificat existant dans le magasin de clés FND, vous devez l'exporter vers un fichier .pfd.

Dans le composant logiciel enfichable Certificats de MMC, développez Certificates (Local Computer) > Personal > Certificates

Cliquez avec le bouton droit sur le certificat généré et sélectionnez Toutes les tâches > Exporter... comme le montre l'image.

Cliquez sur Suivant, sélectionnez afin d'exporter la clé privée comme indiqué dans l'image.

Sélectionnez cette option afin d'inclure tous les certificats dans le chemin d'accès à la certification, comme indiqué dans l'image. 

Cliquez sur Suivant, sélectionnez un mot de passe pour l'exportation et enregistrez le fichier .pfx à un emplacement connu.

Créer le magasin de clés FND à utiliser avec PNP

Maintenant que le certificat est exporté, vous pouvez créer le magasin de clés nécessaire pour FND.

Transférez le fichier .pfx généré de l'étape précédente en toute sécurité vers le serveur FND (machine de systèmes de gestion de réseau (NMS) ou hôte OVA), par exemple avec l'utilisation de SCP.

Répertoriez le contenu du fichier .pfx pour connaître l'alias généré automatiquement dans l'exportation :

[root@iot-fnd ~]# keytool -list -v -keystore nms.pfx -srcstoretype pkcs12 | grep Alias
Enter keystore password:  keystore
Alias name: le-fnd-8f0908aa-dc8d-4101-a526-93b4eaad9481

Créez une banque de clés à l'aide de cette commande :

root@iot-fnd ~]# keytool -importkeystore -v -srckeystore nms.pfx -srcstoretype pkcs12 -destkeystore cgms_keystore_new -deststoretype jks -srcalias le-fnd-8f0908aa-dc8d-4101-a526-93b4eaad9481 -destalias cgms -destkeypass keystore
Importing keystore nms.pfx to cgms_keystore_new...
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
[Storing cgms_keystore_new]

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore cgms_keystore_new -destkeystore cgms_keystore_new -deststoretype pkcs12".

Dans la commande, assurez-vous que vous remplacez nms.pfx par le fichier correct (exporté depuis l'autorité de certification Windows) et que la valeur srcalias correspond à la sortie de la commande précédente (keytool -list).

Une fois que vous l'avez générée, convertissez-la au nouveau format suivant les suggestions :

[root@iot-fnd ~]# keytool -importkeystore -srckeystore cgms_keystore_new -destkeystore 
cgms_keystore_new -deststoretype pkcs12
Enter source keystore password:
Entry for alias cgms successfully imported.
Import command completed:  1 entries successfully imported, 0 entries failed or cancelled

Warning:
Migrated "cgms_keystore_new" to Non JKS/JCEKS. The JKS keystore is backed up as 
"cgms_keystore_new.old".

Ajoutez le certificat CA, exporté précédemment, au magasin de clés :

[root@iot-fnd ~]# keytool -import -trustcacerts -alias root -keystore cgms_keystore_
new -file rootca.cer
Enter keystore password:
Owner: CN=rootca, DC=fnd, DC=iot
Issuer: CN=rootca, DC=fnd, DC=iot
...
Trust this certificate? [no]:  yes
Certificate was added to keystore

Et enfin, ajoutez le certificat SUDI, qui est utilisé afin de vérifier l'identité par série du FAR lorsque vous utilisez PNP, à la banque de clés.

Pour une installation RPM, le certificat SUDI est fourni avec les packages et se trouve dans : /opt/cgms/server/cgms/conf/ciscosudi/cisco-sudi-ca.pem

Pour une installation OVA, copiez d'abord le certificat SUDI sur l'hôte :

[root@iot-fnd ~]# docker cp fnd-container:/opt/cgms/server/cgms/conf/ciscosudi/cisco-sudi-ca.pem .

Ajoutez-le ensuite à la banque de clés comme approuvé avec l'alias SUDI :

[root@iot-fnd ~]# keytool -import -trustcacerts -alias sudi -keystore cgms_keystore_new -file cisco-sudi-ca.pem
Enter keystore password:
Owner: CN=ACT2 SUDI CA, O=Cisco
Issuer: CN=Cisco Root CA 2048, O=Cisco Systems
...
Trust this certificate? [no]:  yes
Certificate was added to keystore

À ce stade, le keystore est prêt à être utilisé avec FND.

Activez le Keystore nouveau/modifié pour l'utiliser avec FND

Avant d'utiliser la banque de clés, remplacez la version précédente et éventuellement mettez à jour le mot de passe dans le fichier cgms.properties.

Tout d'abord, prenez une sauvegarde du keystore qui existe déjà : 

Pour une installation RPM :

[root@fndnms ~]# cp /opt/cgms/server/cgms/conf/cgms_keystore cgms_keystore_backup

Pour une installation OVA :

[root@iot-fnd ~]# cp /opt/fnd/data/cgms_keystore cgms_keystore_backup

Remplacer celle qui existe par la nouvelle :

Pour une installation RPM :

[root@fndnms ~]# cp cgms_keystore_new /opt/cgms/server/cgms/conf/cgms_keystore

Pour une installation OVA :

[root@iot-fnd ~]# cp cgms_keystore_new /opt/fnd/data/cgms_keystore

Vous pouvez éventuellement mettre à jour le mot de passe de la banque de clés dans le fichier cgms.properties :

Tout d'abord, générez une nouvelle chaîne de mot de passe chiffrée.

Pour une installation RPM :

[root@fndnms ~]# /opt/cgms/bin/encryption_util.sh encrypt keystore
7jlXPniVpMvat+TrDWqh1w==

Pour une installation OVA :

[root@iot-fnd ~]# docker exec -it fnd-container /opt/cgms/bin/encryption_util.sh encrypt keystore
7jlXPniVpMvat+TrDWqh1w==

Veillez à remplacer le keystore par le mot de passe correct de votre keystore.

Modifiez les propriétés cgms.properties dans /opt/cgms/server/cgms/conf/cgms.properties pour l'installation basée sur RPM ou /opt/fnd/data/cgms.properties pour l'installation basée sur OVA afin d'inclure le nouveau mot de passe chiffré.

Enfin, redémarrez FND pour commencer à utiliser le nouveau keystore et le nouveau mot de passe.