はじめに
このドキュメントでは、製造元証明書(Manu証明書)の期限切れによってuBR10Kケーブルモデム終端システム(CMTS)に影響が及ぶことを防止し、回避し、ケーブルモデム(CM)reject(pk)サービスから回復するオプションについて説明します。
問題
uBR10KでCMがreject(pk)状態のままになる原因はさまざまです。1つの原因はManu認定の期限切れです。Manu証明書は、CMとCMTS間の認証に使用されます。このドキュメントでは、Manu証明書は「DOCSIS 3.0セキュリティ仕様CM-SP-SECv3.0」でCableLabs製造CA証明書またはメーカーCA証明書と呼ばれるものです。Expireは、uBR10Kシステムの日付/時刻がManu Certの有効期限終了日/時刻を超えていることを意味します。
Manuの証明書が期限切れになった後にuBR10Kへの登録を試行したCMは、CMTSによってreject(pk)とマークされ、サービスに含まれません。uBR10Kに登録済みで、Manu証明書が期限切れのときにサービス中のCMは、次にCMが登録を試行するまでサービスを継続できます。これは、単一のモデムオフラインイベント、uBR10Kケーブルラインカードの再起動、uBR10Kのリロード、またはモデム登録をトリガーするその他のイベントの後に発生する可能性があります。その時点で、CMは認証に失敗し、uBR10Kによってreject(pk)とマークされ、サービス中ではありません。
Cisco CMTSルータ用のDOCSIS 1.1には、uBR10KのサポートとDOCSISベースラインプライバシーインターフェイス(BPI+)の設定に関する追加情報が記載されています。
Manu証明書の情報
Manu証明書の情報は、uBR10K CLIコマンドまたはSimple Network Management Protocol(SNMP)を介して表示できます。これらのコマンドと情報は、このドキュメントで説明するソリューションで使用されます。
Manu証明書情報のフィールドと属性
- インデックス:uBR10Kデータベース/MIB内の各Manu証明書に割り当てられた一意の整数
- Subject: X509証明書でエンコードされているとおりに変換されたサブジェクト名
- cn: CommonName
- ou:OrganizationalUnit(組織単位)
- o:組織
- l:地域
- s:都道府県
- c:国名
- 発行者:認証局
- シリアル:16進数のオクテット文字列で表される証明書のシリアル番号
- 状態:証明書の信頼状態
- trusted
- untrusted
- チェーン証明書
- root
- 送信元:証明書がCMTSにどのように到達したか
- snmp
- 設定ファイル
- 外部データベース
- other
- 認証情報
- compiledInfoCode
- Status/RowStatus:証明書の状態
- active
- 非インサービス
- 受信不可
- 作成と移動
- 作成と待機
- 破壊する
- 証明書:X509 DERでエンコードされた認証局の証明書
- 有効日付:CMTSシステムの日付と時刻を基準としてManu証明書の有効期間を定義する開始日と終了日
- 開始日:Manu証明書が有効になる日時
- 終了日:Manu証明書が有効でなくなった日時
- 証明書:X509 DERでエンコードされた認証局の証明書
- 拇印: CA証明書のSHA-1ハッシュ
uBR10K CLIコマンド
このコマンドの出力には、Manu Certの情報が含まれています。Manu CertインデックスはSNMPによってのみ取得できます
- uBR10K CLI execモードまたはラインカードのCLI execモードから:uBR10K#show cable privacy manufacturer-cert-list
- uBR10KラインカードCLI execモードから:Slot-6-0#show crypto pki certificates
次のケーブルインターフェイス設定コマンドは、回避策と回復のために使用されます
DOCSIS-BPI-PLUS-MIBのOID
manu証明書の情報は、「SNMPオブジェクトナビゲータ」で説明されているように、docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1で定義されています。
注:uBR10kソフトウェアでは、RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIBが誤ったOID MIBブランチ/パスで実装されています。uBR10kプラットフォームは販売終了日であり、ソフトウェアサポート終了日を過ぎているため、このソフトウェアの不具合に対する修正はありません。予期されるMIBパス/ブランチ1.3.6.1.2.10.127.6の代わりに、 ubr10k上のBPI2 MIB/OIDとのSNMPインタラクションには、MIBパス/ブランチ1.3.6.1.2.1.9999を使用する必要があります。
関連するCisco Bug ID CSCum28486
Cisco Bug ID CSCum28486に記載されているように、uBR10kでのManu証明書情報に対応するBPI2 MIB OIDのフルパスは次のとおりです。
docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8
このドキュメントのコマンド例では、読みやすくするために一部の情報が省略されていることを示すために、省略記号(...)を使用しています。
ソリューション
CMファームウェアアップデートは、最良の長期的なソリューションです。期限切れのManu証明書を持つCMをuBR10Kに登録し、オンラインのままにしておく回避策はこのドキュメントで説明されていますが、これらの回避策は短期間の使用のみを目的としています。CMファームウェアのアップデートが選択できない場合は、セキュリティと運用の観点から、CMの交換戦略を長期的なソリューションとして使用することをお勧めします。ここで説明するソリューションは、さまざまな条件やシナリオに対応しており、個別に使用することも、組み合わせて使用することもできます。
注:BPIが削除されると、暗号化と認証が無効になり、回避策としてその実行可能性が最小限に抑えられます。
CMファームウェアの更新
多くの場合、CMメーカーは、Manu証明書の有効期間の終了日を延長するCMファームウェアアップデートを提供しています。このソリューションは最良のオプションであり、Manu認定の有効期限が切れる前に実行すると、関連するサービスへの影響を防ぐことができます。CMは新しいファームウェアをロードし、新しいManu CertsとCM Certsを使用して再登録します。新しい証明書は正しく認証でき、CMはuBR10Kに正常に登録できます。新しいManu証明書とCM証明書は、uBR10Kにすでにインストールされている既知のルート証明書に戻る新しい証明書チェーンを作成できます。
既知のManu証明書を信頼済みに設定
CMメーカーの廃業によりCMファームウェアアップデートが利用できない場合、CMモデルなどのさらなるサポートが行われない場合、有効期限日が近い将来にuBR10kで既知のManu Certsは、有効期限が切れる前にuBR10kで信頼できると事前にマークできます。Manu Certのシリアル番号、有効終了日、および状態は、uBR10K CLIコマンドで確認できます。Manu証明書のシリアル番号、信頼状態、およびインデックスは、SNMPで確認できます。
現在サービス中およびオンラインモデムに関する既知のManu証明書は、通常、DOCSIS Baseline Privacy Interface(BPI)プロトコルを介してCMからuBR10Kによって学習されます。CMからuBR10Kに送信されるAUTH-INFOメッセージには、Manu証明書が含まれています。一意のManu CertはそれぞれuBR10Kメモリに保存され、その情報はuBR10K CLIコマンドおよびSNMPを使用して表示できます。
Manu証明書が信頼できるとマークされると、2つの重要な処理が行われます。まず、uBR10K BPIソフトウェアが有効期限切れの日付を無視できるようにします。2つ目は、Manu証明書を信頼できるものとしてuBR10K NVRAMに保存することです。これにより、uBR10Kのリロード時にManu Certの状態が保持され、uBR10Kのリロード時にこの手順を繰り返す必要がなくなります
CLIおよびSNMPコマンドの例は、Manu Certインデックス、シリアル番号、信頼状態を識別する方法を示し、その情報を使用して信頼状態を信頼に変更します。この例では、インデックス5とシリアル番号45529C2654797E1623C6E723180A9E9CのManu証明書に焦点を当てています。
uBR10K CLIからの多数の証明書情報の表示
この例では、uBR10K CLIコマンドのshow crypto pki certificatesとshow cable privacy manufacturer-cert-listを使用して、既知のManu証明書情報を表示しています。
UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open
clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
Certificate Usage: Not Set
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Arris Cable Modem Root Certificate Authority
ou=Suwanee\
Georgia
ou=DOCSIS
o=Arris Interactive\
L.L.C.
c=US
Validity Date:
start date: 20:00:00 EDT Sep 11 2001
end date: 19:59:59 EDT Sep 11 2021
Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit
[Connection to 127.0.0.81 closed by foreign host]
uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained <-- Cert Trust State is Chained
Source: Auth Info <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
SNMPを使用してリモートデバイスから手動で証明書情報を表示する
関連uBR10K SNMP OID:
docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
この例では、snmpwalkコマンドを使用して、uBR10k Manu Cert Table内の情報を表示します。既知のManu証明書のシリアル番号をManu証明書インデックスに関連付けることができます。このインデックスを使用して、信頼状態を設定できます。特定のSNMPコマンドと形式は、SNMPコマンド/要求の実行に使用されるデバイスとオペレーティングシステムによって異なります。
Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)
期限切れの既知のManu Cert Trust StateをTrusted with SNMPに設定する
OIDの値: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5(uBR10k上のOIDは1.3.6.1.2.1.9999.1.2.5.2.1.5です)
1:信頼済み
2:信頼できない
3:チェーン
4:ルート
この例では、Manu証明書の信頼状態がchainedからtrustedに変わり、Index = 5、Serial Number = 45529C2654797E1623C6E723180A9E9Cとなっています。
Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1
uBR10K CLIまたはSNMPを使用して変更されたManu証明書の確認
- 信頼値がチェーンから「信頼」に変更されました
- 送信元の値が「SNMP」に変更されました。これは、証明書がBPIプロトコルAuthInfoメッセージからではなく、SNMPによって最後に管理されたことを示します
Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)
uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
既知のManu証明書が期限切れになった後のCMサービスの回復
既知のManu証明書は、通常、以前のCM登録からのAuthInfoメッセージの結果としてuBR10Kデータベースにすでに存在する証明書です。あるManu証明書が信頼できるとマークされておらず、その証明書が期限切れになった場合、期限切れのManu証明書を使用するすべてのCMは続いてオフラインになり、登録を試行できますが、uBR10Kによってそれらがreject(pk)とマークされ、サービスに含まれていません。このセクションでは、この状態から回復し、期限切れのManu Certsを持つCMを登録してサービス状態に維持する方法について説明します。
期限切れの既知のManu証明書のシリアル番号の特定
reject(pk)でスタックしているCMのManu Cert情報は、CLIコマンドshow cable modem <CM MAC Address> privacyを使用してuBR10Kでチェックできます。
show cable modem 1234.5678.9abc privacy verbose
MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information
期限切れの既知のManu証明書のインデックスを特定し、Manu証明書の信頼状態をTrustedに設定する
前のセクションで説明したのと同じuBR10K CLIコマンドとSNMPコマンドを使用して、Manu証明書のシリアル番号に基づいてManu証明書のインデックスを特定します。 期限切れのManu証明書インデックス番号を使用して、Manu証明書の信頼状態をSNMPで信頼できるものに設定します。
jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...
jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)
uBR10Kに期限切れの不明なMANU証明書をインストールし、信頼できるとマークする
有効期限が切れたManu証明書がuBR10Kで認識されないため、有効期限が切れる前にその証明書を管理(信頼済みとマーク)できず、回復できない場合は、そのManu証明書をuBR10Kに追加して信頼済みとマークする必要があります。この状態は、以前は不明でuBR10Kに登録されていないCMが、不明で期限切れのManu証明書に登録しようとした場合に発生します。
Manu証明書は、SNMP Setまたはcable privacy retain-failed-certificates設定によってuBR10Kに追加できます。
SNMPを使用したuBR10Kへの期限切れ不明なユーザ証明書の追加
製造元の証明書を追加するには、docsBpi2CmtsCACertTableテーブルにエントリを追加します。各エントリにこれらの属性を指定します。
- docsBpi2CmtsCACertStatus 1.3.6.1.2.1.9999.1.2.5.2.1.7(4に設定すると行エントリが作成されます)
- docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8(実際のX.509証明書のX509証明書の値としての16進数データ)
- docsBpi2CmtsCACertTrust 1.3.6.1.2.1.9999.1.2.5.2.1.5(1に設定すると、Manu Cert Trustの状態がtrustedに設定されます)
ほとんどのオペレーティングシステムでは、証明書を指定する16進数文字列を入力するのに必要な長さの入力行を受け付けることができません。このため、これらの属性を設定するには、グラフィカルなSNMPマネージャを使用することをお勧めします。多くの証明書については、より便利であれば、スクリプトファイルを使用できます。
SNMPコマンドを実行し、結果として例に示すように、ASCII DER Encoded ASN.1 X.509証明書をパラメータを指定してuBR10Kデータベースに追加します。
Index = 11
Status = createAndGo (4)
Trust state = trusted (1)
追加したManu証明書に一意のインデックス番号を使用します。期限切れのManu証明書が追加されると、手動で信頼するように設定されていない限り、状態は信頼されません。自己署名証明書が追加された場合、uBR10Kが証明書を受け入れる前に、uBR10Kケーブルインターフェイス設定でcable privacy accept-self-signed-certificate コマンドを設定する必要があります。
この例では、読みやすさを考慮して証明書の内容の一部が省略されており、省略記号(...)で示されています。
jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 =
30 82 04 00 30 82 02 e8 a0 03 02 01 02 02 10 43
74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30
...
f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21
1f 1b b7 2c 13 19 3d 56 ab 4b 09 a9 1e 62 5c ee
c0 d2 ba 2d
docsBpi2CmtsCACertTrust.11 = trusted(1)
CLIでのCM登録中の期限切れmanu証明書の追加
通常、Manu証明書は、CMからuBR10Kに送信されたBPIプロトコルAuthInfoメッセージによってuBR10Kデータベースに入ります。AuthInfoメッセージで受信された一意で有効なMANU証明書がデータベースに追加されます。Manu証明書がCMTSで不明で(データベース内になく)、有効期限が切れている場合、AuthInfoは拒否され、Manu証明書はuBR10Kデータベースに追加されません。uBR10Kケーブルインターフェイスの設定にcable privacy retain-failed-certificates回避策の設定がある場合、AuthInfoによって無効なMANU証明書をuBR10Kに追加できます。これにより、期限切れのManu証明書をuBR10Kデータベースにunstrustedとして追加できます。期限切れのManu証明書を使用するには、SNMPを使用して信頼できる証明書としてマークする必要があります。
uBR10K#config t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end
期限切れManu証明書がuBR10Kに追加されてtoctedとマークされている場合は、uBR10Kで期限切れ証明書の他の不明な証明書が追加されないように、cable privacy retain-failed-certificates設定を削除することが推奨されます。
uBR10K CLIコマンドを使用して、AuthInfoによる期限切れCM証明書とmanu証明書の追加を許可する
場合によっては、CM証明書が期限切れになります。この状況では、cable privacy retain-failed-certificates設定に加えて、uBR10Kで別の設定が必要です。関連する各uBR10K MAC Domain(Cable Interface)の下で、cable privacy skip-validity-period設定を追加して、設定を保存します。これにより、uBR10Kでは、CM BPI AuthInfoメッセージで送信されるすべてのCMおよびManuの証明書について、期限切れの有効期間チェックが無視されるようになります。
uBR10K#config t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start
追加情報
MACドメイン/ケーブルインターフェイスの設定に関する考慮事項
cable privacy retain-failed-certificatesおよびcable privacy skip-validity-period設定コマンドは、MACドメイン/ケーブルインターフェイスレベルで使用され、限定的ではありません。retain-failed-certificatesコマンドでは、障害が発生した証明書をuBR10Kデータベースに追加でき、skip-validity-periodコマンドでは、すべてのManuおよびCM証明書について有効期間のチェックをスキップできます。
SNMPパケットサイズの考慮事項
大規模な証明書を使用する場合は、追加のuBR10K SNMP設定が必要になる場合があります。証明書のOctetStringがSNMPパケットサイズよりも大きい場合、証明書データのSNMP GetはNULLになる場合があります。 たとえば、
uBR10K#conf t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end
Manu証明書のデバッグ
uBR10KでのManu Certのデバッグは、debug cable privacy ca-certコマンドとdebug cable mac-address <cm mac-address>コマンドでサポートされています。 その他のデバッグ情報については、サポート記事の『モデムスタック状態診断のためのDOCSIS証明書のデコード方法』を参照してください。
関連サポートドキュメント
フィードバック