Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les options permettant d'empêcher, de contourner et de récupérer l'impact du service de rejet (pk) de modem câble (CM) sur le système de terminaison de modem câble (CMTS) cBR-8 résultant de l'expiration du certificat du fabricant (certificat Manu).
Il y a différentes causes pour qu'un CM soit bloqué dans l'état de rejet (pk) sur le cBR-8. Une cause est l'expiration du certificat Manu. Le certificat Manu est utilisé pour l'authentification entre un CM et un CMTS. Dans ce document, un certificat Manu est ce que la spécification de sécurité DOCSIS 3.0 CM-SP-SECv3.0 appelle le certificat CA de fabrication CableLabs ou le certificat CA de fabricant. Expire signifie que la date/heure système cBR-8 dépasse la date/heure de fin de validité du certificat Manu.
Un CM qui tente de s'enregistrer auprès du cBR-8 après l'expiration de la certification Manu est marqué comme rejeté (pk) par le CMTS et n'est pas en service. Un CM déjà enregistré avec le cBR-8 et en service à l'expiration du certificat Manu peut rester en service jusqu'à la prochaine tentative d'enregistrement du CM, ce qui peut se produire après un événement CM hors ligne unique, un redémarrage de la carte de ligne du câble cBR-8, un rechargement de la carte cBR-8 ou tout autre événement déclenchant l'enregistrement du CM. À ce moment, le CM échoue l'authentification, est marqué comme rejet (pk) par le cBR-8 et n'est pas en service.
Les informations contenues dans ce document complètent et reformatent le contenu publié dans le Bulletin produit sur les modems câble et les certificats de fabricant arrivant à expiration dans cBR-8.
Remarque : ID de bogue Cisco CSCv21785 ; Dans certaines versions de Cisco IOS XE, ce bogue entraîne l'échec de la validation d'un certificat Manu approuvé après un rechargement cBR-8. Dans certains cas, le certificat Manu est présent mais n'est plus dans l'état de confiance. Dans ce cas, l'état de confiance du certificat Manu peut être changé en confiance avec les étapes décrites dans ce document. Si le certificat Manu n'est pas présent dans le résultat de la commande show cable privacy constructeur-cert-list, le certificat Manu peut être rajouté manuellement ou par AuthInfo avec les étapes décrites dans ce document.
Les informations relatives à la certification Manu peuvent être consultées via les commandes CLI cBR-8 ou les commandes SNMP (Simple Network Management Protocol) à partir d'un périphérique distant. L'interface de ligne de commande cBR-8 prend également en charge les commandes SNMP set, get et get-bulk. Ces commandes et informations sont utilisées par les solutions décrites dans ce document.
Les informations relatives à la certification Manu peuvent être consultées avec ces commandes CLI cBR-8.
Ces commandes SNMP de Cisco IOS® XE sont utilisées à partir de l'interface de ligne de commande (CLI) de cBR-8 pour obtenir et définir des OID SNMP.
Ces commandes de configuration d'interface de câble cBR-8 sont utilisées pour les solutions de contournement et la récupération décrites dans la section Solution de ce document.
Les informations de certification de manuel sont définies dans la branche OID docsBpi2CmtsCACertEntry 1.3.6.1.2.1.10.127.6.1.2.5.2.1, décrite dans le navigateur d'objets SNMP.
OID SNMP pertinents
docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8
Dans les exemples de commandes, les points de suspension (...) indiquent que certaines informations ont été omises pour des raisons de lisibilité.
La mise à jour du microprogramme CM est la meilleure solution à long terme. Les solutions de contournement décrites dans ce document permettent aux CM avec des certificats Manu expirés de s'enregistrer et de rester en ligne avec le cBR-8, mais ces solutions de contournement ne sont recommandées que pour une utilisation à court terme. Si la mise à jour du microprogramme CM n'est pas une option, une stratégie de remplacement CM est une bonne solution à long terme du point de vue de la sécurité et des opérations. Les solutions décrites ici concernent différentes conditions ou scénarios et peuvent être utilisées individuellement ou, pour certaines, en combinaison les unes avec les autres ;
Autoriser l'ajout de certificats CM et Manu expirés par AuthInfo avec une commande CLI cBR-8
Remarque : Si BPI est supprimé, cela désactive le chiffrement et l'authentification, ce qui réduit la viabilité de cette solution comme solution de contournement.
Dans de nombreux cas, les fabricants de produits CM fournissent des mises à jour de microprogramme CM qui prolongent la date de fin de validité du certificat Manu. Cette solution est la meilleure option et, lorsqu'elle est exécutée avant l'expiration d'un certificat Manu, elle empêche les impacts de service associés. Les CM chargent le nouveau micrologiciel et se réenregistrent avec les nouveaux certificats Manu et CM. Les nouveaux certificats peuvent s'authentifier correctement et les CM peuvent s'enregistrer avec succès auprès du cBR-8. Les nouveaux certificats Manu et CM peuvent recréer une nouvelle chaîne de certificats à partir du certificat racine connu déjà installé dans le cBR-8.
Lorsqu'une mise à jour du micrologiciel CM n'est pas disponible en raison de la faillite d'un fabricant CM, qu'il n'est plus possible de prendre en charge un modèle CM, etc., les certificats Manu déjà connus sur le cBR-8 avec des dates de fin de validité dans un avenir proche peuvent être marqués de manière proactive comme approuvés dans le cBR-8 avant la date de fin de validité. Les commandes CLI cBR-8 et SNMP sont utilisées pour identifier les informations de certification Manu telles que le numéro de série et l'état de confiance, et SNMP est utilisé pour définir l'état de confiance de certification Manu sur approuvé dans le cBR-8, ce qui permet aux CM associés de s'enregistrer et de rester en service.
Les certifications Manu connues pour les MC actuellement en service et en ligne sont généralement apprises par le cBR-8 à partir d'un CM via le protocole DOCSIS Baseline Privacy Interface (BPI). Le message AuthInfo envoyé par le CM au cBR-8 contient le certificat Manu. Chaque certificat Manu unique est stocké dans la mémoire cBR-8 et ses informations peuvent être visualisées par les commandes CLI cBR-8 et SNMP.
Lorsque le certificat Manu est marqué comme fiable, cela fait deux choses importantes. Tout d'abord, il permet au logiciel cBR-8 BPI d'ignorer la date de validité expirée. Ensuite, il stocke le certificat Manu comme étant de confiance dans la mémoire vive non volatile cBR-8. Cela permet de préserver l'état Cert Manu sur un rechargement cBR-8 et élimine la nécessité de répéter cette procédure en cas de rechargement cBR-8.
Les exemples de commandes CLI et SNMP montrent comment identifier un index de certificat Manu, un numéro de série et un état de confiance ; utilisez ensuite ces informations pour passer de l'état d'approbation à approuvé. Les exemples portent sur le certificat Manu avec index 4 et numéro de série 437498F09A7DCBC1FA7AA101FE976E40.
Dans cet exemple, la commande CLI cBR-8 show cable privacy constructeur-cert-list est utilisée.
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B
Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 701F760559283586AC9B0E2666562F0E
Thumbprint: E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982
Dans cet exemple, la commande CLI cBR-8 snmp get-bulk est utilisée. Les Cert Indices 4 et 5 sont les Manu Certs stockés dans la mémoire CMTS. Les indices 1, 2 et 3 sont des certificats racine. Les certificats racine ne sont pas un problème car leur date d'expiration est beaucoup plus longue.
docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS
docsBpi2CmtsCACertSubject.3 = CableLabs
docsBpi2CmtsCACertSubject.4 = Motorola
docsBpi2CmtsCACertSubject.5 = CableLabs
docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.1 = 4
docsBpi2CmtsCACertTrust.2 = 4
docsBpi2CmtsCACertTrust.3 = 4
docsBpi2CmtsCACertTrust.4 = 3 (3 = chained)
docsBpi2CmtsCACertTrust.5 = 3
docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0
docsBpi2CmtsCACertSource.1 = 4
docsBpi2CmtsCACertSource.2 = 4
docsBpi2CmtsCACertSource.3 = 4
docsBpi2CmtsCACertSource.4 = 5 (5 = authentInfo)
docsBpi2CmtsCACertSource.5 = 5
docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0
docsBpi2CmtsCACertStatus.1 = 1
docsBpi2CmtsCACertStatus.2 = 1
docsBpi2CmtsCACertStatus.3 = 1
docsBpi2CmtsCACertStatus.4 = 1 (1 = active)
docsBpi2CmtsCACertStatus.5 = 1
Les exemples SNMP de périphérique distant dans ce document utilisent des commandes SNMP à partir d'un serveur Ubuntu Linux distant. Les commandes et formats SNMP spécifiques dépendent du périphérique et du système d'exploitation utilisés pour exécuter les commandes SNMP.
docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"
docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"
docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3 (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3
docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5 (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5
docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1 (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1
Utilisez la commande CLI cBR-8 linecard show crypto pki certificates pour identifier la date de fin de validité du certificat Manu. Le résultat de cette commande n'inclut pas l'index de certification Manu. Le numéro de série du certificat peut être utilisé pour mettre en corrélation les informations de certificat Manu apprises à partir de cette commande avec les informations de certificat Manu apprises à partir du SNMP.
CBR8-1#request platform software console attach
request platform software console attach 6/0
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Device Certification Authority
ou=Device CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2049
Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23
CA Certificate
Status: Available
Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Motorola Corporation Cable Modem Root Certificate Authority
ou=ASG
ou=DOCSIS
l=San Diego
st=California
o=Motorola Corporation
c=US
Validity Date:
start date: 00:00:00 GMT Jul 11 2001
end date: 23:59:59 GMT Jul 10 2021
Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f
CA Certificate
Status: Available
Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2064
Associated Trustpoints: DOCSIS-D31-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
Certificate Usage: Signature
Issuer:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE Subject:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE
Validity Date:
start date: 00:00:00 GMT Sep 21 2001
end date: 23:59:59 GMT Sep 20 2031
Associated Trustpoints: DOCSIS-EU-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Validity Date:
start date: 00:00:00 GMT Feb 1 2001
end date: 23:59:59 GMT Jan 31 2031
Associated Trustpoints: DOCSIS-US-TRUSTPOINT
Les exemples montrent que l'état de confiance est passé de « enchaîné » à « approuvé » pour le certificat Manu avec index = 4 et numéro de série = 437498f09a7dcbc1fa7aa101fe976e40
OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 valeurs :
1: de confiance
2: non fiable
3: en chaîne
4: racine
Cet exemple montre la commande cBR-8 CLI snmp-set utilisée pour modifier l'état de confiance
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2305483, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Cet exemple montre un périphérique distant qui utilise SNMP pour modifier l'état de confiance
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Cet exemple montre la commande CLI cBR-8 utilisée pour confirmer les modifications
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...
Cet exemple montre un périphérique distant qui utilise SNMP pour confirmer les modifications
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1 (1 = snmp)
Un certificat Manu déjà connu est un certificat déjà présent dans la base de données cBR-8, généralement à la suite de messages AuthInfo d'un enregistrement CM précédent. Si un certificat Manu n'est pas marqué comme approuvé et expire, tout CM qui utilise le certificat Manu expiré et qui se déconnecte ne peut pas se réenregistrer et est marqué comme rejet(pk). Cette section décrit comment récupérer de cette condition et permettre aux CM avec des certificats Manu expirés de s'enregistrer et de rester en service.
Lorsque les CM ne se mettent pas en ligne et sont marqués comme rejetés suite à l'expiration des certificats Manu, un message syslog est généré et contient l'adresse MAC CM et le numéro de série du certificat Manu expiré.
CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired
Cet exemple montre les commandes SNMP CLI cBR-8 utilisées pour identifier l'index du numéro de série du certificat Manu à partir du message de journal, qui est ensuite utilisé pour définir l'état de confiance du certificat Manu sur approuvé.
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2351849, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2353143, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Cet exemple montre qu'un périphérique distant utilise des commandes SNMP pour identifier l'index du numéro de série du certificat Manu à partir du message de journal, qui est ensuite utilisé pour définir l'état de confiance du certificat Manu sur approuvé.
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Lorsqu'un certificat Manu expiré n'est pas connu du cBR-8, il ne peut pas être géré (marqué comme approuvé) avant l'expiration et ne peut pas être récupéré. Cela se produit lorsqu'un CM qui est précédemment inconnu et non enregistré sur un cBR-8 tente de s'enregistrer avec un certificat Manu inconnu et expiré. Le certificat Manu doit être ajouté au cBR-8 par SNMP à partir d'un périphérique distant ou utiliser la configuration d'interface de câble cBR-8 cable privacy keep-failed-certificates pour permettre à un certificat Manu expiré d'être ajouté par AuthInfo. Les commandes SNMP CLI cBR-8 ne peuvent pas être utilisées pour ajouter un certificat car le nombre de caractères dans les données de certificat dépasse le nombre maximal de caractères acceptés par la CLI. Si un certificat auto-signé est ajouté, la commande cable privacy accept-self-signed-certificate doit être configurée sous l'interface de câble cBR-8 avant que le cBR-8 puisse accepter le certificat.
Utilisez ces valeurs OID docsBpi2CmtsCACertTable pour ajouter le certificat Manu en tant que nouvelle entrée de table. La valeur hexadécimale du certificat Manu défini par l'OID docsBpi2CmtsCACert peut être apprise avec les étapes de vidage de certificat CA décrites dans l'article de support How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis.
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)
Utilisez un numéro d'index unique pour le certificat Manu ajouté. Les indices des certificats Manu déjà présents sur le cBR-8 peuvent être vérifiés à l'aide de la commande show cable privacy constructeur-cert-list.
CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7
Les exemples de cette section utilisent une valeur d'index de 11 pour le certificat Manu ajouté à la base de données cBR-8.
Conseil : Définissez toujours les attributs CertStatus avant les données réelles du certificat. Sinon, le CMTS suppose que le certificat est enchaîné et tente immédiatement de le vérifier auprès des fabricants et des certificats racine.
Certains systèmes d'exploitation ne peuvent pas accepter des lignes d'entrée aussi longues que nécessaire pour entrer la chaîne de données hexadécimale qui spécifie un certificat. Pour cette raison, un gestionnaire SNMP graphique peut être utilisé pour définir ces attributs. Pour un certain nombre de certificats, un fichier de script peut être utilisé, si cela est plus pratique.
Cet exemple montre un périphérique distant qui utilise SNMP pour ajouter un certificat Manu Cert au cBR-8. La plupart des données du certificat sont omises pour des raisons de lisibilité, indiquées par des points (...).
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1
Un certificat Manu entre généralement dans la base de données cBR-8 par le message BPI Protocol AuthInfo envoyé au cBR-8 par le CM. Chaque certificat Manu unique et valide reçu dans un message AuthInfo est ajouté à la base de données. Si le certificat Manu n'est pas connu du CMTS (pas dans la base de données) et que les dates de validité ont expiré, AuthInfo est rejeté et le certificat Manu n'est pas ajouté à la base de données cBR-8. Un certificat Manu expiré peut être ajouté au CMTS par l'échange AuthInfo lorsque la configuration de contournement de rétention des certificats défaillants de confidentialité des câbles est présente sous la configuration d'interface de câble cBR-8. Cela permet d'ajouter le certificat Manu expiré à la base de données cBR-8 comme non approuvé. Pour pouvoir utiliser le certificat Manu expiré, vous devez utiliser SNMP pour le marquer comme étant approuvé. Lorsque le certificat Manu expiré est ajouté au cBR-8 et marqué comme approuvé, la suppression de la configuration cable privacy keep-failed-certificates est recommandée afin que les certificats Manu supplémentaires, potentiellement indésirables, n'entrent pas dans le système.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end
Un certificat CM expiré peut être ajouté au CMTS par l'échange AuthInfo lorsque les commandes cable privacy keep-failed-certificates et cable privacy skip-valid-period sont configurées sous chaque interface de câble concernée. Ceci amène le cBR-8 à ignorer les contrôles de date de validité expirés pour TOUS les certificats CM et Manu envoyés dans le message CM BPI AuthInfo. Lorsque les certificats CM et Manu expirés sont ajoutés au cBR-8 et marqués comme approuvés, la suppression de la configuration décrite est recommandée afin que des certificats supplémentaires, potentiellement indésirables, n'entrent pas dans le système.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start
Les commandes de configuration cable privacy keep-failed-certificates et cable privacy skip-valid-period sont utilisées au niveau de l'interface MAC Domain/cable et ne sont pas restrictives. La commande keep-failed-certificates peut ajouter n'importe quel certificat défaillant à la base de données cBR-8 et la commande skip-valid-period peut ignorer les vérifications de date de validité sur tous les certificats Manu et CM.
Une extraction SNMP pour les données de certificat peut renvoyer une valeur NULL si Cert OctetString est supérieur à la taille du paquet SNMP. Une configuration SNMP cBR-8 peut être utilisée lorsque des certificats de grande taille sont utilisés ;
CBR8-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start
Le débogage de certificat de manuel sur le cBR-8 est pris en charge avec les commandes debug cable privacy ca-cert et debug cable mac-address <CM mac-address>. Des informations de débogage supplémentaires sont expliquées dans l'article de support How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis. Cela inclut les étapes de vidage de certificat CA utilisées pour apprendre la valeur hexadécimale d'un certificat Manu.
Révision | Date de publication | Commentaires |
---|---|---|
2.0 |
08-Dec-2021
|
Ajoutez une note pour l'ID de bogue Cisco CSCvv21785. Modifications mineures du format. |
1.0 |
30-Nov-2021
|
Première publication |