cBR-8で期限切れの製造元証明書を回避して回復する

はじめに

このドキュメントでは、製造元証明書（Manu証明書）の期限切れによってcBR-8ケーブルモデム終端システム(CMTS)に影響が及ぶことを防止し、回避し、ケーブルモデム(CM)reject(pk)サービスから回復するオプションについて説明します。

問題

CMがcBR-8でreject(pk)状態のままになる原因はさまざまです。1つの原因はManu認定の期限切れです。Manu証明書は、CMとCMTS間の認証に使用されます。このドキュメントでは、Manu証明書は「DOCSIS 3.0セキュリティ仕様CM-SP-SECv3.0」でCableLabs製造CA証明書またはメーカーCA証明書と呼ばれるものです。Expireは、cBR-8システムの日付と時刻がManu Certの有効期間の終了日付と時刻を超えていることを意味します。

Manu証明書の有効期限が切れた後にcBR-8への登録を試行するCMは、CMTSによってreject(pk)とマークされ、使用中ではありません。すでにcBR-8に登録されていて、Manu証明書が期限切れになった時点で稼働中のCMは、次にCMが登録を試行するときまでサービスを継続できます。これは、単一のCMのオフラインイベント、cBR-8ケーブルラインカードの再起動、cBR-8のリロード、または他のイベントによってCM登録がトリガーされた後に発生する可能性があります。その時点で、CMは認証に失敗し、cBR-8によってreject(pk)とマークされ、使用中ではありません。

このドキュメントの情報は、『cBR-8製品速報のケーブルモデムと期限切れ間近の製造元証明書』に掲載されている内容を拡張し、再フォーマットするものです。

注:Cisco Bug ID CSCvv21785:Cisco IOS XEの一部のバージョンでは、このバグにより、信頼できるManuの証明書がcBR-8のリロード後に検証に失敗します。場合によっては、Manu証明書は存在していても、信頼できる状態ではなくなっています。この場合、このドキュメントで説明されている手順を使用して、Manu Certの信頼状態をtrustedに変更できます。Manu Certがshow cable privacy manufacturer-cert-listコマンドの出力に存在しない場合、Manu Certは手動で、またはこのドキュメントで説明されている手順に従ってAuthInfoにより再度追加できます。

Manu証明書の情報

Manuの証明書情報は、リモートデバイスからcBR-8 CLIコマンドまたはSimple Network Management Protocol(SNMP)コマンドを介して表示できます。cBR-8 CLIでは、SNMPのset、get、およびget-bulkコマンドもサポートされています。これらのコマンドと情報は、このドキュメントで説明するソリューションで使用されます。

Manu証明書情報のフィールドと属性

• インデックス：cBR-8データベース/MIB内の各Manu証明書に割り当てられた一意の整数
• Subject: X509証明書でエンコードされているとおりに変換されたサブジェクト名
  
  • cn: CommonName
  • ou:OrganizationalUnit（組織単位）
  • o：組織
  • l：地域
  • s：都道府県
  • c：国名
• 発行者：認証局
• シリアル：16進数のオクテット文字列で表される証明書のシリアル番号
• 状態：証明書の信頼状態
  
  • trusted
  • untrusted
  • チェーン証明書
  • root
• 送信元：証明書がCMTSにどのように到達したか
  
  • snmp
  • 設定ファイル
  • 外部データベース
  • other
  • 認証情報
  • compiledInfoCode
• Status/RowStatus：証明書の状態
  
  • active
  • 非インサービス
  • 受信不可
  • 作成と移動
  • 作成して待機
  • 破壊する

• 証明書：X509 DERでエンコードされた認証局の証明書
• 有効日付：CMTSシステムの日付と時刻を基準としてManu証明書の有効期間を定義する開始日と終了日
  
  • 開始日：Manu証明書が有効になる日時
  • 終了日：Manu証明書が有効でなくなった日時
• 証明書：X509 DERでエンコードされた認証局の証明書
• 拇印： CA証明書のSHA-1ハッシュ

cBR-8 CLIコマンド

Manuの証明書情報は、次のcBR-8 CLIコマンドを使用して表示できます。

• cBR-8 CLI execモードまたはラインカードのCLI execモードから：CBR8-1#show cable privacy manufacturer-cert-list
• cBR-8ラインカードのCLI EXECモードから：Slot-6-0#show crypto pki certificates

次のCisco IOS® XE SNMPコマンドは、cBR-8 CLIからSNMP OIDを取得および設定するために使用されます。

• SNMP取得
• snmp get-bulk
• snmp set

これらのcBR-8ケーブルインターフェイス設定コマンドは、このドキュメントの「ソリューション」セクションで説明されている回避策と回復に使用されます。

• cable privacy retain-failed-certificates
• cable privacy skip-validity-period

DOCSIS-BPI-PLUS-MIBのOID

manu証明書の情報は、「SNMPオブジェクトナビゲータ」で説明されているように、docsBpi2CmtsCACertEntry OIDブランチ1.3.6.1.2.1.10.127.6.1.2.5.2.1で定義されています。

関連するSNMP OID

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

コマンドの例では、読みやすくするために一部の情報が省略されていることを示す省略記号(...)が表示されます。

解決方法

CMファームウェアアップデートは、最良の長期的なソリューションです。このドキュメントで説明する回避策により、有効期限が切れたManuの証明書を持つCMを登録し、cBR-8でオンラインのままにすることが可能になりますが、これらの回避策は短期間の使用に限り推奨されます。CMファームウェアのアップデートが選択できない場合は、セキュリティと運用の観点から、CMの交換戦略を長期的なソリューションとして使用することをお勧めします。ここで説明するソリューションは、さまざまな条件やシナリオに対応しており、個別に使用することも、組み合わせて使用することもできます。

• CMファームウェアの更新
• 既知のManu証明書を信頼済みに設定
• 既知のManu証明書が期限切れになった後のCMサービスの回復
• cBR-8に不明な期限切れMANU証明書をインストールし、信頼できるとマークする

• cBR-8 CLIコマンドを使用して、期限切れCM証明書と必須証明書をAuthInfoで追加することを許可する

注:BPIが削除されると、暗号化と認証が無効になり、回避策としてその実行可能性が最小限に抑えられます。

CMファームウェアの更新

多くの場合、CMメーカーは、Manu証明書の有効期間の終了日を延長するCMファームウェアアップデートを提供しています。このソリューションは最良のオプションであり、Manu認定の有効期限が切れる前に実行すると、関連するサービスへの影響を防ぐことができます。CMは新しいファームウェアをロードし、新しいManu CertsとCM Certsを使用して再登録します。新しい証明書は正しく認証でき、CMはcBR-8に正常に登録できます。新しいManu証明書とCM証明書では、cBR-8にすでにインストールされている既知のルート証明書に戻る新しい証明書チェーンを作成できます。

既知のManu証明書を信頼済みに設定

CMメーカーの廃業やCMモデルのサポートの終了などにより、CMファームウェアアップデートが利用できない場合、有効終了日が近いcBR-8ですでに既知のManu証明書を、有効終了日より前にcBR-8で信頼できると事前にマーキングできます。cBR-8のCLIコマンドとSNMPを使用して、シリアル番号や信頼状態などのManu証明書の情報を識別し、SNMPを使用してcBR-8でManu証明書の信頼状態をtrustedに設定します。これにより、関連するCMを登録し、稼働状態に留めることができます。

現在サービス中およびオンラインのCMに関する既知のManu証明書は、通常、DOCSIS Baseline Privacy Interface(BPI)プロトコルを介してCMからcBR-8によって学習されます。CMからcBR-8に送信されるAuthInfoメッセージには、Manu証明書が含まれています。一意のManu CertはそれぞれcBR-8メモリに保存され、その情報はcBR-8 CLIコマンドおよびSNMPで表示できます。

Manu証明書が信頼できるとマークされると、2つの重要な処理が行われます。まず、cBR-8 BPIソフトウェアが有効期限切れの日付を無視できるようにします。2番目に、Manu証明書を信頼できるものとしてcBR-8 NVRAMに保存します。これにより、cBR-8のリロード時にManu Certの状態が保持され、cBR-8のリロード時にこの手順を繰り返す必要がなくなります。

CLIコマンドとSNMPコマンドの例は、Manu Certインデックス、シリアル番号、および信頼状態を識別する方法を示しています。その情報を使用して、信頼状態を信頼に変更します。この例では、インデックス4でシリアル番号437498F09A7DCBC1FA7AA101FE976E40のManuの証明書に焦点を当てています。

cBR-8 CLIからのManu証明書情報の表示

この例では、cBR-8 CLIコマンドshow cable privacy manufacturer-cert-listが使用されています。

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

SNMPを使用してcBR-8 CLIから手動で証明書情報を表示する

この例では、cBR-8 CLIコマンドsnmp get-bulkを使用しています。証明書インデックス4および5は、CMTSメモリに保存されている主要な証明書です。インデックス1、2、および3はルート証明書です。ルート証明書は有効期限が非常に長いため、ここでの懸念事項ではありません。 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

SNMPを使用してリモートデバイスから重要な証明書情報を表示する

このドキュメントのリモートデバイスのSNMPの例では、リモートのUbuntu LinuxサーバからのSNMPコマンドを使用しています。特定のSNMPコマンドと形式は、SNMPコマンドの実行に使用されるデバイスとオペレーティングシステムによって異なります。

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

CLIでのManu証明書の有効期間の終了日の確認

Manu証明書の有効期間の終了日を確認するには、cBR-8ラインカードのCLIコマンドshow crypto pki certificatesを使用します。このコマンド出力には、Manu Cert Indexは含まれていません。証明書のシリアル番号を使用して、このコマンドで取得したManuの証明書情報とSNMPで取得したManuの証明書情報を関連付けることができます。

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Manu Cert Trust StateをTrustedに設定します

次の例は、Manuの証明書の信頼状態がchainedからtrustedに変わったことを示しています。これは、インデックス= 4、シリアル番号= 437498f09a7dcbc1fa7aa101fe976e40です。

OID:docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5値：

1：信頼済み
2：信頼できない
3：チェーン
4：ルート

次の例は、信頼状態の変更に使用されるcBR-8 CLI snmp-setコマンドを示しています

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

次の例は、リモートデバイスがSNMPを使用して信頼状態を変更していることを示しています

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

cBR-8 CLIまたはSNMPを使用した手動での証明書変更の確認

• 信頼値がチェーンから信頼に変更されました
• sourceの値がSNMPに変更されました。これは、証明書がBPIプロトコルAuthInfoメッセージからではなく、SNMPによって最後に管理されたことを示します

次の例は、変更を確認するために使用されるcBR-8 CLIコマンドを示しています

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

次の例は、リモートデバイスがSNMPを使用して変更を確認していることを示しています

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

既知のManu証明書が期限切れになった後のCMサービスの回復

既知のManu証明書は、cBR-8データベースにすでに存在する証明書です。これは通常、以前のCM登録からのAuthInfoメッセージの結果です。Manuの証明書が信頼できるとマークされず期限切れになった場合、期限切れのManuの証明書を使用してオフラインになったCMは再登録ができず、reject(pk)とマークされます。 このセクションでは、この状態から回復し、期限切れのManu Certsを持つCMを登録してサービス状態に維持する方法について説明します。

CMがオンラインにならず、期限切れのManu証明書の結果としてreject(pk)とマークされると、syslogメッセージが生成され、CMのMACアドレスと期限切れのManu証明書のシリアル番号が記録されます。

cBR-8ログメッセージからの期限切れmanu証明書シリアル番号の特定

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

期限切れのManu証明書のインデックスを特定し、Manu証明書の信頼状態を信頼できるものに設定する

この例では、ログメッセージからManu証明書のシリアル番号のインデックスを識別し、Manu証明書の信頼状態を信頼に設定するために使用される、cBR-8 CLI SNMPコマンドを示しています。

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

次の例は、リモートデバイスがSNMPコマンドを使用して、ログメッセージからManu証明書シリアル番号のインデックスを識別し、その後Manu証明書の信頼状態をtrustedに設定するために使用されていることを示しています。

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

cBR-8に不明な期限切れMANU証明書をインストールし、信頼できるとマークする

期限切れのManu証明書がcBR-8で認識されない場合、期限切れ前に管理（信頼できるとマーク）できず、回復できません。これは、以前は不明でcBR-8に登録されていないCMが、不明で期限切れのManu証明書に登録しようとすると発生します。Manu証明書は、リモートデバイスからSNMPでcBR-8に追加する必要があります。または、cable privacy retain-failed-certificates cBR-8ケーブルインターフェイス設定を使用して、期限切れのManu証明書をAuthInfoで追加できるようにします。証明書データの文字数がCLIで許可されている最大文字数を超えているため、cBR-8 CLI SNMPコマンドを使用して証明書を追加できません。自己署名証明書が追加された場合は、cBR-8で証明書を許可する前に、cBR-8ケーブルインターフェイスでcable privacy accept-self-signed-certificate コマンドを設定する必要があります。 

SNMPによるcBR-8への期限切れmanu証明書の追加

次のdocsBpi2CmtsCACertTable OID値を使用して、Manu証明書を新しいテーブルエントリとして追加します。docsBpi2CmtsCACert OIDによって定義されるManu証明書の16進数値は、サポート記事「モデムスタック状態診断のためのDOCSIS証明書のデコード方法」に記載されているCA証明書ダンプ手順で学習できます。

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

追加したManu証明書に一意のインデックス番号を使用します。cBR-8にすでに存在する主要な証明書のインデックスは、show cable privacy manufacturer-cert-listコマンドを使用して確認できます。

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

このセクションの例では、cBR-8データベースに追加されたManu証明書にインデックス値11を使用しています。

ヒント：実際の証明書データの前には、必ずCertStatus属性を設定してください。そうでない場合、CMTSは証明書がチェーンされていると見なし、メーカーおよびルート証明書を使用してただちに検証を試みます。

一部のオペレーティングシステムでは、証明書を指定する16進数のデータ文字列を入力するのに必要な長さの入力行を受け付けることができません。このため、グラフィカルなSNMPマネージャを使用して、これらの属性を設定できます。多くの証明書については、より便利であれば、スクリプトファイルを使用できます。

次の例は、リモートデバイスがSNMPを使用してManu証明書をcBR-8に追加する方法を示しています。ほとんどの証明書データは読みやすいように省略され、省略(...)で示されます。 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

cBR-8 CLIコマンドを使用したAuthInfoによる期限切れmanu証明書の追加の許可

通常、Manu証明書は、CMからcBR-8に送信されたBPIプロトコルAuthInfoメッセージによってcBR-8データベースに入ります。AuthInfoメッセージで受信された一意で有効なMANU証明書がデータベースに追加されます。Manu証明書がCMTSで不明で（データベース内になく）、有効期限が切れている場合、AuthInfoは拒否され、Manu証明書はcBR-8データベースに追加されません。cBR-8ケーブルインターフェイスの設定にcable privacy retain-failed-certificates回避策の設定がある場合、期限切れのmanu証明書をAuthInfo交換によってCMTSに追加できます。これにより、期限切れのManu証明書を信頼できない証明書としてcBR-8データベースに追加できます。期限切れのManu証明書を使用するには、SNMPを使用して信頼できる証明書としてマークする必要があります。期限切れのManu証明書がcBR-8に追加され、信頼できるとマークされた場合は、不要な可能性のある追加のManu証明書がシステムに侵入しないように、cable privacy retain-failed-certificates設定を削除することが推奨されます。

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

cBR-8 CLIコマンドを使用して、期限切れCM証明書と必須証明書をAuthInfoで追加することを許可する

cable privacy retain-failed-certificatesコマンドとcable privacy skip-validity-periodコマンドの両方が関連する各ケーブルインターフェイスの下で設定されている場合、期限切れのCM証明書をAuthInfo交換によってCMTSに追加できます。これにより、cBR-8では、CM BPI AuthInfoメッセージで送信されたすべてのCMおよびManuの証明書に対して、有効期限切れ日付チェックが無視されるようになります。  期限切れのCMとManuの証明書がcBR-8に追加され、信頼できるとマークされた場合は、不要な可能性のある追加の証明書がシステムに侵入しないように、上記の設定を削除することが推奨されます。

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

追加情報

MACドメイン/ケーブルインターフェイスの設定に関する考慮事項

cable privacy retain-failed-certificatesおよびcable privacy skip-validity-period設定コマンドは、MACドメイン/ケーブルインターフェイスレベルで使用され、制限がありません。retain-failed-certificatesコマンドでは、障害が発生した証明書をcBR-8データベースに追加でき、skip-validity-periodコマンドでは、すべてのManuおよびCM証明書について有効期間のチェックをスキップできます。

SNMPパケットサイズの考慮事項

Cert OctetStringがSNMPパケットサイズよりも大きい場合、Certデータに対するSNMP getはNULL値を返す可能性があります。cBR-8 SNMP設定は、大規模な証明書を使用する場合に使用できます。

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Manu証明書のデバッグ

cBR-8でのManuの証明書のデバッグは、debug cable privacy ca-certコマンドとdebug cable mac-address <CM mac-address>コマンドでサポートされています。その他のデバッグ情報については、サポート記事の『モデムスタック状態診断のためのDOCSIS証明書のデコード方法』を参照してください。これには、Manu証明書の16進数値を学習するために使用されるCA証明書ダンプ手順が含まれます。

関連サポートドキュメント

• Cisco CMTSルータ用のDOCSIS 1.1には、cBR-8のサポートとDOCSISベースラインプライバシーインターフェイス(BPI+)の設定に関する追加情報が記載されています。
• このドキュメントで参照されているcBR-8 CLIコマンドについては、『Cisco CMTS Cable Command Reference』を参照してください。
• 「uBR10Kでの期限切れ製造者証明書の回避策と回復」では、uBR10K CMTSに関するこのドキュメントと同様の情報が提供されています。
• テクニカル サポートとドキュメント - Cisco Systems