Solution et récupération des certificats de fabricant expirés sur cBR-8

Introduction

Ce document décrit les options permettant d'empêcher, de contourner et de récupérer l'impact du service de rejet (pk) de modem câble (CM) sur le système de terminaison de modem câble (CMTS) cBR-8 résultant de l'expiration du certificat du fabricant (certificat Manu).

Problème

Il y a différentes causes pour qu'un CM soit bloqué dans l'état de rejet (pk) sur le cBR-8. Une cause est l'expiration du certificat Manu. Le certificat Manu est utilisé pour l'authentification entre un CM et un CMTS. Dans ce document, un certificat Manu est ce que la spécification de sécurité DOCSIS 3.0 CM-SP-SECv3.0 appelle le certificat CA de fabrication CableLabs ou le certificat CA de fabricant. Expire signifie que la date/heure système cBR-8 dépasse la date/heure de fin de validité du certificat Manu.

Un CM qui tente de s'enregistrer auprès du cBR-8 après l'expiration de la certification Manu est marqué comme rejeté (pk) par le CMTS et n'est pas en service. Un CM déjà enregistré avec le cBR-8 et en service à l'expiration du certificat Manu peut rester en service jusqu'à la prochaine tentative d'enregistrement du CM, ce qui peut se produire après un événement CM hors ligne unique, un redémarrage de la carte de ligne du câble cBR-8, un rechargement de la carte cBR-8 ou tout autre événement déclenchant l'enregistrement du CM. À ce moment, le CM échoue l'authentification, est marqué comme rejet (pk) par le cBR-8 et n'est pas en service.

Les informations contenues dans ce document complètent et reformatent le contenu publié dans le Bulletin produit sur les modems câble et les certificats de fabricant arrivant à expiration dans cBR-8.

Remarque : ID de bogue Cisco CSCv21785 ; Dans certaines versions de Cisco IOS XE, ce bogue entraîne l'échec de la validation d'un certificat Manu approuvé après un rechargement cBR-8. Dans certains cas, le certificat Manu est présent mais n'est plus dans l'état de confiance. Dans ce cas, l'état de confiance du certificat Manu peut être changé en confiance avec les étapes décrites dans ce document. Si le certificat Manu n'est pas présent dans le résultat de la commande show cable privacy constructeur-cert-list, le certificat Manu peut être rajouté manuellement ou par AuthInfo avec les étapes décrites dans ce document.

Informations sur le certificat Manu

Les informations relatives à la certification Manu peuvent être consultées via les commandes CLI cBR-8 ou les commandes SNMP (Simple Network Management Protocol) à partir d'un périphérique distant. L'interface de ligne de commande cBR-8 prend également en charge les commandes SNMP set, get et get-bulk. Ces commandes et informations sont utilisées par les solutions décrites dans ce document.

Champs et attributs des informations de certification Manu

• Index : Entier unique attribué à chaque certificat Manu dans la base de données/MIB cBR-8
• Objet :  Le nom du sujet exactement tel qu'il est codé dans le certificat X509
  
  • nc : NomCommun
  • ou : UnitéOrganisationnelle
  • o : Organisation
  • l : Localité
  • s : NomÉtatOuProvince
  • c : NomPays
• Émetteur : L'autorité de certification
• Série : Numéro de série du certificat représenté dans une chaîne d’octets hexadécimale
• Province: État de confiance du certificat
  
  • de confiance
  • non fiable
  • en chaîne
  • racine
• Source : Comment le certificat a atteint le CMTS
  
  • snmp
  • fichierConfiguration
  • base de données externe
  • other (autre)
  • authentInfo
  • codeInfoCompilé
• État/ÉtatLigne : État du certificat
  
  • actif
  • non en service
  • non prêt
  • CréerEtAtteindre
  • createand Wait
  • détruire

• Cert : Le certificat de l'autorité de certification codé DER X509
• Date de validité : Les dates de début et de fin qui définissent la période de validité du certificat Manu par rapport à la date et à l'heure système CMTS
  
  • date de début : Date et heure auxquelles le certificat Manu devient valide
  • date de fin : Date et heure auxquelles le certificat Manu n'est plus valide
• Cert : Le certificat de l'autorité de certification codé DER X509
• Empreinte numérique : Hachage SHA-1 d'un certificat CA

Commandes CLI cBR-8

Les informations relatives à la certification Manu peuvent être consultées avec ces commandes CLI cBR-8.

• À partir du mode d'exécution CLI cBR-8 ou du mode d'exécution CLI Linecard : CBR8-1#show cable privacy fabricant-cert-list
• En mode d'exécution CLI de la carte de ligne cBR-8 : Slot-6-0#show crypto pki certificates

Ces commandes SNMP de Cisco IOS® XE sont utilisées à partir de l'interface de ligne de commande (CLI) de cBR-8 pour obtenir et définir des OID SNMP.

• snmp get
• snmp get-bulk
• les opérations SNMP SET

Ces commandes de configuration d'interface de câble cBR-8 sont utilisées pour les solutions de contournement et la récupération décrites dans la section Solution de ce document.

• cable privacy keep-failed-certificates
• cable privacy skip-valid-period

OID DOCSIS-BPI-PLUS-MIB

Les informations de certification de manuel sont définies dans la branche OID docsBpi2CmtsCACertEntry 1.3.6.1.2.1.10.127.6.1.2.5.2.1, décrite dans le navigateur d'objets SNMP.

OID SNMP pertinents

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

Dans les exemples de commandes, les points de suspension (...) indiquent que certaines informations ont été omises pour des raisons de lisibilité.

Solution

La mise à jour du microprogramme CM est la meilleure solution à long terme. Les solutions de contournement décrites dans ce document permettent aux CM avec des certificats Manu expirés de s'enregistrer et de rester en ligne avec le cBR-8, mais ces solutions de contournement ne sont recommandées que pour une utilisation à court terme. Si la mise à jour du microprogramme CM n'est pas une option, une stratégie de remplacement CM est une bonne solution à long terme du point de vue de la sécurité et des opérations. Les solutions décrites ici concernent différentes conditions ou scénarios et peuvent être utilisées individuellement ou, pour certaines, en combinaison les unes avec les autres ;

• Mettre à jour le microprogramme CM
• Définir un certificat Manu connu sur Approuvé
• Récupérer le service CM après expiration d'un certificat Manu connu
• Installer un certificat Manu expiré inconnu sur le cBR-8 et marquer comme approuvé

• Autoriser l'ajout de certificats CM et Manu expirés par AuthInfo avec une commande CLI cBR-8

Remarque : Si BPI est supprimé, cela désactive le chiffrement et l'authentification, ce qui réduit la viabilité de cette solution comme solution de contournement.

Mettre à jour le microprogramme CM

Dans de nombreux cas, les fabricants de produits CM fournissent des mises à jour de microprogramme CM qui prolongent la date de fin de validité du certificat Manu. Cette solution est la meilleure option et, lorsqu'elle est exécutée avant l'expiration d'un certificat Manu, elle empêche les impacts de service associés. Les CM chargent le nouveau micrologiciel et se réenregistrent avec les nouveaux certificats Manu et CM. Les nouveaux certificats peuvent s'authentifier correctement et les CM peuvent s'enregistrer avec succès auprès du cBR-8. Les nouveaux certificats Manu et CM peuvent recréer une nouvelle chaîne de certificats à partir du certificat racine connu déjà installé dans le cBR-8.

Définir un certificat Manu connu sur Approuvé

Lorsqu'une mise à jour du micrologiciel CM n'est pas disponible en raison de la faillite d'un fabricant CM, qu'il n'est plus possible de prendre en charge un modèle CM, etc., les certificats Manu déjà connus sur le cBR-8 avec des dates de fin de validité dans un avenir proche peuvent être marqués de manière proactive comme approuvés dans le cBR-8 avant la date de fin de validité. Les commandes CLI cBR-8 et SNMP sont utilisées pour identifier les informations de certification Manu telles que le numéro de série et l'état de confiance, et SNMP est utilisé pour définir l'état de confiance de certification Manu sur approuvé dans le cBR-8, ce qui permet aux CM associés de s'enregistrer et de rester en service.

Les certifications Manu connues pour les MC actuellement en service et en ligne sont généralement apprises par le cBR-8 à partir d'un CM via le protocole DOCSIS Baseline Privacy Interface (BPI). Le message AuthInfo envoyé par le CM au cBR-8 contient le certificat Manu. Chaque certificat Manu unique est stocké dans la mémoire cBR-8 et ses informations peuvent être visualisées par les commandes CLI cBR-8 et SNMP.

Lorsque le certificat Manu est marqué comme fiable, cela fait deux choses importantes. Tout d'abord, il permet au logiciel cBR-8 BPI d'ignorer la date de validité expirée. Ensuite, il stocke le certificat Manu comme étant de confiance dans la mémoire vive non volatile cBR-8. Cela permet de préserver l'état Cert Manu sur un rechargement cBR-8 et élimine la nécessité de répéter cette procédure en cas de rechargement cBR-8.

Les exemples de commandes CLI et SNMP montrent comment identifier un index de certificat Manu, un numéro de série et un état de confiance ; utilisez ensuite ces informations pour passer de l'état d'approbation à approuvé. Les exemples portent sur le certificat Manu avec index 4 et numéro de série 437498F09A7DCBC1FA7AA101FE976E40.

Afficher les informations de certification Manu depuis l'interface de ligne de commande cBR-8

Dans cet exemple, la commande CLI cBR-8 show cable privacy constructeur-cert-list est utilisée.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

Afficher les informations de certification du manuel avec SNMP à partir de l'interface de ligne de commande cBR-8

Dans cet exemple, la commande CLI cBR-8 snmp get-bulk est utilisée. Les Cert Indices 4 et 5 sont les Manu Certs stockés dans la mémoire CMTS. Les indices 1, 2 et 3 sont des certificats racine. Les certificats racine ne sont pas un problème car leur date d'expiration est beaucoup plus longue. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

Afficher les informations de certification du manuel avec SNMP à partir d'un périphérique distant

Les exemples SNMP de périphérique distant dans ce document utilisent des commandes SNMP à partir d'un serveur Ubuntu Linux distant. Les commandes et formats SNMP spécifiques dépendent du périphérique et du système d'exploitation utilisés pour exécuter les commandes SNMP.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

Identifier la date de fin de validité du certificat Manu dans l'interface CLI

Utilisez la commande CLI cBR-8 linecard show crypto pki certificates pour identifier la date de fin de validité du certificat Manu. Le résultat de cette commande n'inclut pas l'index de certification Manu. Le numéro de série du certificat peut être utilisé pour mettre en corrélation les informations de certificat Manu apprises à partir de cette commande avec les informations de certificat Manu apprises à partir du SNMP.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Définir l'état d'approbation du certificat Manu sur Approuvé

Les exemples montrent que l'état de confiance est passé de « enchaîné » à « approuvé » pour le certificat Manu avec index = 4 et numéro de série = 437498f09a7dcbc1fa7aa101fe976e40

OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 valeurs :

1: de confiance
2: non fiable
3: en chaîne
4: racine

Cet exemple montre la commande cBR-8 CLI snmp-set utilisée pour modifier l'état de confiance

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Cet exemple montre un périphérique distant qui utilise SNMP pour modifier l'état de confiance

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

Confirmez les modifications de certification Manu avec l'interface de ligne de commande cBR-8 ou avec SNMP

• La valeur d'approbation est passée de « enchaîné » à « approuvé »
• La valeur source a changé en SNMP, ce qui indique que le certificat a été géré pour la dernière fois par SNMP et non à partir du message BPI Protocol AuthInfo

Cet exemple montre la commande CLI cBR-8 utilisée pour confirmer les modifications

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

Cet exemple montre un périphérique distant qui utilise SNMP pour confirmer les modifications

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

Récupérer le service CM après expiration d'un certificat Manu connu

Un certificat Manu déjà connu est un certificat déjà présent dans la base de données cBR-8, généralement à la suite de messages AuthInfo d'un enregistrement CM précédent. Si un certificat Manu n'est pas marqué comme approuvé et expire, tout CM qui utilise le certificat Manu expiré et qui se déconnecte ne peut pas se réenregistrer et est marqué comme rejet(pk). Cette section décrit comment récupérer de cette condition et permettre aux CM avec des certificats Manu expirés de s'enregistrer et de rester en service.

Lorsque les CM ne se mettent pas en ligne et sont marqués comme rejetés suite à l'expiration des certificats Manu, un message syslog est généré et contient l'adresse MAC CM et le numéro de série du certificat Manu expiré.

Identifiez le numéro de série du certificat Manu expiré dans le message du journal cBR-8

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

Identifiez l'index du certificat Manu expiré et définissez l'état d'approbation du certificat Manu sur Approuvé

Cet exemple montre les commandes SNMP CLI cBR-8 utilisées pour identifier l'index du numéro de série du certificat Manu à partir du message de journal, qui est ensuite utilisé pour définir l'état de confiance du certificat Manu sur approuvé.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Cet exemple montre qu'un périphérique distant utilise des commandes SNMP pour identifier l'index du numéro de série du certificat Manu à partir du message de journal, qui est ensuite utilisé pour définir l'état de confiance du certificat Manu sur approuvé.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

Installer un certificat Manu expiré inconnu sur le cBR-8 et marquer comme approuvé

Lorsqu'un certificat Manu expiré n'est pas connu du cBR-8, il ne peut pas être géré (marqué comme approuvé) avant l'expiration et ne peut pas être récupéré. Cela se produit lorsqu'un CM qui est précédemment inconnu et non enregistré sur un cBR-8 tente de s'enregistrer avec un certificat Manu inconnu et expiré. Le certificat Manu doit être ajouté au cBR-8 par SNMP à partir d'un périphérique distant ou utiliser la configuration d'interface de câble cBR-8 cable privacy keep-failed-certificates pour permettre à un certificat Manu expiré d'être ajouté par AuthInfo. Les commandes SNMP CLI cBR-8 ne peuvent pas être utilisées pour ajouter un certificat car le nombre de caractères dans les données de certificat dépasse le nombre maximal de caractères acceptés par la CLI.  Si un certificat auto-signé est ajouté, la commande cable privacy accept-self-signed-certificate doit être configurée sous l'interface de câble cBR-8 avant que le cBR-8 puisse accepter le certificat. 

Ajout d'un certificat Manu expiré au cBR-8 avec SNMP

Utilisez ces valeurs OID docsBpi2CmtsCACertTable pour ajouter le certificat Manu en tant que nouvelle entrée de table. La valeur hexadécimale du certificat Manu défini par l'OID docsBpi2CmtsCACert peut être apprise avec les étapes de vidage de certificat CA décrites dans l'article de support How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

Utilisez un numéro d'index unique pour le certificat Manu ajouté. Les indices des certificats Manu déjà présents sur le cBR-8 peuvent être vérifiés à l'aide de la commande show cable privacy constructeur-cert-list.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

Les exemples de cette section utilisent une valeur d'index de 11 pour le certificat Manu ajouté à la base de données cBR-8.

Conseil : Définissez toujours les attributs CertStatus avant les données réelles du certificat. Sinon, le CMTS suppose que le certificat est enchaîné et tente immédiatement de le vérifier auprès des fabricants et des certificats racine.

Certains systèmes d'exploitation ne peuvent pas accepter des lignes d'entrée aussi longues que nécessaire pour entrer la chaîne de données hexadécimale qui spécifie un certificat. Pour cette raison, un gestionnaire SNMP graphique peut être utilisé pour définir ces attributs. Pour un certain nombre de certificats, un fichier de script peut être utilisé, si cela est plus pratique.

Cet exemple montre un périphérique distant qui utilise SNMP pour ajouter un certificat Manu Cert au cBR-8. La plupart des données du certificat sont omises pour des raisons de lisibilité, indiquées par des points (...). 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

Autoriser l'ajout d'un certificat Manu expiré par AuthInfo avec une commande CLI cBR-8

Un certificat Manu entre généralement dans la base de données cBR-8 par le message BPI Protocol AuthInfo envoyé au cBR-8 par le CM. Chaque certificat Manu unique et valide reçu dans un message AuthInfo est ajouté à la base de données. Si le certificat Manu n'est pas connu du CMTS (pas dans la base de données) et que les dates de validité ont expiré, AuthInfo est rejeté et le certificat Manu n'est pas ajouté à la base de données cBR-8. Un certificat Manu expiré peut être ajouté au CMTS par l'échange AuthInfo lorsque la configuration de contournement de rétention des certificats défaillants de confidentialité des câbles est présente sous la configuration d'interface de câble cBR-8. Cela permet d'ajouter le certificat Manu expiré à la base de données cBR-8 comme non approuvé. Pour pouvoir utiliser le certificat Manu expiré, vous devez utiliser SNMP pour le marquer comme étant approuvé. Lorsque le certificat Manu expiré est ajouté au cBR-8 et marqué comme approuvé, la suppression de la configuration cable privacy keep-failed-certificates est recommandée afin que les certificats Manu supplémentaires, potentiellement indésirables, n'entrent pas dans le système.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

Autoriser l'ajout de certificats CM et Manu expirés par AuthInfo avec une commande CLI cBR-8

Un certificat CM expiré peut être ajouté au CMTS par l'échange AuthInfo lorsque les commandes cable privacy keep-failed-certificates et cable privacy skip-valid-period sont configurées sous chaque interface de câble concernée. Ceci amène le cBR-8 à ignorer les contrôles de date de validité expirés pour TOUS les certificats CM et Manu envoyés dans le message CM BPI AuthInfo. Lorsque les certificats CM et Manu expirés sont ajoutés au cBR-8 et marqués comme approuvés, la suppression de la configuration décrite est recommandée afin que des certificats supplémentaires, potentiellement indésirables, n'entrent pas dans le système.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

Additional Information

Considérations relatives à la configuration du domaine MAC/de l’interface câble

Les commandes de configuration cable privacy keep-failed-certificates et cable privacy skip-valid-period sont utilisées au niveau de l'interface MAC Domain/cable et ne sont pas restrictives. La commande keep-failed-certificates peut ajouter n'importe quel certificat défaillant à la base de données cBR-8 et la commande skip-valid-period peut ignorer les vérifications de date de validité sur tous les certificats Manu et CM.

Considération de la taille des paquets SNMP

Une extraction SNMP pour les données de certificat peut renvoyer une valeur NULL si Cert OctetString est supérieur à la taille du paquet SNMP. Une configuration SNMP cBR-8 peut être utilisée lorsque des certificats de grande taille sont utilisés ;

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Débogage du certificat Manu

Le débogage de certificat de manuel sur le cBR-8 est pris en charge avec les commandes debug cable privacy ca-cert et debug cable mac-address <CM mac-address>. Des informations de débogage supplémentaires sont expliquées dans l'article de support How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis. Cela inclut les étapes de vidage de certificat CA utilisées pour apprendre la valeur hexadécimale d'un certificat Manu.

Documentation d'assistance associée

• DOCSIS 1.1 pour les routeurs Cisco CMTS fournit des informations supplémentaires sur la prise en charge et la configuration de cBR-8 de DOCSIS Baseline Privacy Interface (BPI+).
• Le Guide de référence des commandes du câble Cisco CMTS fournit des informations sur les commandes CLI cBR-8 référencées dans ce document.
• La solution Work Around and Recover Expired Manufacturer Certificates on uBR10K fournit des informations similaires à celles de ce document pour le CMTS uBR10K.
• Assistance et documentation techniques - Cisco Systems