NCS 1010ノードでのCEPKIトラストプールバンドルの累積による回復時間の延長とSSHアクセス障害

はじめに

このドキュメントでは、NCS 1010ノード(Cisco IOS® XR 24.3.1、25.1.1使用時)でのCEPKIトラストプールバンドルの累積が原因で発生する、回復時間の延長とSSHアクセス障害について説明します。

問題

NCS 1010光ノードでルートプロセッサ(RP)をリロードした後、回復時間が散発的に長くなることが観察されます。回復期間中、Cisco Embedded Public Key Infrastructure(CEPKI)の初期化の遅延が原因で、デバイスへのSSHアクセスが失敗します。これにより、影響を受けるノードでのリモート管理および運用タスクが防止されます。syslogメッセージとSSHエラーは、初期化が完了するまでSSHDプロセスがCEPKIからホストキーを取得できず、SSHログインが失敗することを示しています。SSHアクセスの回復は、CEPKIが初期化を完了した後（通常は30 ～ 60分後）にのみ観察されます。この問題は、デバイス（特にソフトウェアリリース24.3.1および25.1.1）に大量のトラストプールバンドルが累積することに関連しています。

環境

• テクノロジー：光ネットワーキング
• 製品ファミリ：NCS 1000シリーズ（NCS 1010光ノード）
• ソフトウェアバージョン：IOS XR 24.3.1、25.1.1（両方で問題が再現）
• コンポーネント：ルートプロセッサ(RP)、CEPKI、SSHDプロセス
• 運用機能：Call Home、Smart Licensingアプリケーション
• 最近の観測：回復時間の延長、RPリロード後のSSHアクセス障害、高いトラストプールバンドルの累積

解決方法

トラストプールバンドルの累積が原因で発生するCEPKI初期化遅延とSSHアクセス障害を緩和して解決するには、次に説明する手順を実行します。これらの手順は、検証済みのエンジニアリング分析とドキュメント化された解決策から直接導出されます。

1. トラストプールバンドルの累積のチェック：

   現在のトラストプールバンドルの状態と関連する証明書情報を確認するには、次のコマンドを実行します。サンプル出力は、提供されたデータでは使用できません。
   
   

   ステップ 1：NCS1010の技術情報の詳細を確認します。
   
   

   show tech ncs1010 detailed

   
   ステップ 2：暗号化セッションの詳細を確認します。
   
   

   show tech crypto session

   
   ステップ 3：CEPKIテクニカルサポートデータを確認します。
   
   

   show tech-support cepki

   
   ステップ 4：システムデータベースの状態を確認します。
   
   

   show tech sysdb

   
   ステップ 5：インストールされているすべての暗号CA証明書をリストします。
   
   

   show crypto ca certificates

   
   手順 6：トラストプールバンドルの詳細を表示します。
   
   

   show crypto ca trustpool detail

   
   手順 7：信頼プールのステータスを表示します。
   
   

   show crypto ca trustpool

   
   ステップ 8：トラストプールポリシーを表示します。
   
   

   show crypto ca trustpool policy

2. 該当するリリース（24.3.1および25.1.1）での回避策：

   蓄積されたトラストプールバンドルをクリーンアップして強制的に再インポートするには、上記のコマンドを順番に実行します。このプロセスにより、以前にダウンロードされた信頼プール証明書が削除され、現在のバンドルがダウンロードされるため、初期化の遅延が軽減されます。
   
   

   ステップ 1：インポートの前に信頼プール証明書を消去します。
   
   

   crypto ca trustpool import url clean

   
   ステップ 2：トラストプールバンドルをインポートします。
   
   

   crypto ca trustpool import url

3. 永続的な修正（アップグレードを推奨）:

   根本的な問題は、Cisco IOS XRリリース26.1.1でCisco Bug ID CSCwq39205で解決されています.
   このリリースにアップグレードすると、現在のバンドルをダウンロードする前に、以前にダウンロードした信頼プール証明書がシステムによって自動的にクリアされます。これにより、将来の運用に備えてクリーンで一貫したトラストプール状態が維持されます。
   
   

4. Call Home転送方式のアドバイザリ：

   シスコは、Cisco IOS XRリリース25.3.1以降のCall Home転送方式のサポート終了(EoL)を発表しています。引き続きサポートを受けるには、スマートライセンスの転送方式に移行することを強くお勧めします。詳細については、提供されているシスコアドバイザリを参照してください。
   
   

テクニカル・インジケータとログ：

• Syslog:
  
  

  sshd[21897]: main: failed to get keys from cepki

• Syslog:
  
  

  cepki[274]: certificate database updated

• SSHエラー：
  
  

  ssh: connect to host <node> port 22: Connection refused

• 確認：CEPKIプロセスは、初期化の終了(EOI)信号なしで証明書を繰り返し更新します。
• 確認されたトラストプール数：「Trustpool: Built-In」が20回、「Trustpool: Downloaded」が768回。

原因

根本原因は、Call HomeおよびSmart Licensingアプリケーションを介したダウンロードの繰り返しによって引き起こされる、デバイス上の複数のトラストプールバンドルの累積です。Cisco IOS XRリリース24.3.1および25.1.1では、これらのアプリケーションは、以前に保存された証明書をクリアせずにトラストプールバンドルをダウンロードするため、CEPKIの初期化とSSHキーの取得に遅延が生じます。この動作は、Cisco Bug ID CSCwq39205で解決されています。
リリース26.1.1では、新しいバンドルをダウンロードする前に、以前のトラストプール証明書がクリアされるようになりました。

関連情報

• Cisco Bug ID CSCwq39205：トラストプールバンドルは、再度ダウンロードする前にクリアする必要があります
• Cisco Bug ID CSCwq53226:Call Home転送方式のサポート終了に関するアドバイザリ
• シスコアドバイザリ： Call HomeからSmart Transportへの移行の通知
• シスコのテクニカルサポートとダウンロード