uBR10K에서 만료된 제조업체 인증서 복구 및 해결 방법

소개

이 문서에서는 제조업체 인증서(Manu Cert) 만료로 인해 발생하는 uBR10K CMTS(Cable Modem Termination System)에 미치는 CM(Cable Modem) reject(pk) 서비스 영향을 방지, 해결 및 복구하는 옵션에 대해 설명합니다.

문제

uBR10K에서 CM이 reject(pk) 상태에 머물러 있는 원인은 여러 가지가 있습니다. 한 가지 원인은 Manu 인증서의 만료입니다. Manu Cert는 CM과 CMTS 간의 인증에 사용됩니다. 이 문서에서 Manu 인증서는 DOCSIS 3.0 Security Specification CM-SP-SECv3.0이 CableLabs Mfg CA 인증서 또는 Manufacturer CA 인증서로 지칭하는 것입니다. Expire(만료)는 uBR10K 시스템 날짜/시간이 Manu 인증서 유효 종료 날짜/시간을 초과함을 의미합니다.

Manu Cert가 만료된 후 uBR10K에 등록을 시도하는 CM은 CMTS에서 reject(pk)로 표시되어 서비스 중이 아닙니다. uBR10K에 이미 등록되어 있고 Manu Cert가 만료될 때 사용 중인 CM은 다음에 CM이 등록을 시도할 때까지 서비스 상태를 유지할 수 있습니다. 이는 단일 모뎀 오프라인 이벤트, uBR10K 케이블 라인 카드 재시작, uBR10K 다시 로드 또는 모뎀 등록을 트리거하는 기타 이벤트 후에 발생할 수 있습니다. 이 때 CM은 인증에 실패하고 uBR10K에 의해 reject(pk)로 표시되어 서비스 중이 아닙니다.

DOCSIS 1.1 for the Cisco CMTS Router는 uBR10K 지원 및 DOCSIS BPI+(Baseline Privacy Interface) 구성에 대한 추가 정보를 제공합니다.

Manu 인증서 정보

Manu Cert 정보는 uBR10K CLI 명령 또는 SNMP(Simple Network Management Protocol)를 통해 볼 수 있습니다.  이러한 명령 및 정보는 이 문서에 설명된 솔루션에서 사용됩니다.

Manu 인증서 정보 필드 및 특성

• 색인: uBR10K 데이터베이스/MIB의 각 Manu 인증서에 할당된 고유한 정수

• 제목:  X509 인증서에서 인코딩된 것과 정확히 동일한 주체 이름
  
  • cn: 공용 이름
  • ou: 조직단위
  • o: 조직
  • l: 구/군/시
  • s: 시/도 이름
  • c: 국가 이름
• 발급자: 인증 기관
• 일련 번호: 16진수 8진수 문자열로 표시되는 인증서 일련 번호
• 상태: 인증서의 신뢰 상태
  
  • 신뢰할 수 있는
  • 신뢰 할 수 없음
  • 사슬로 묶여
  • 루트
• 출처: 인증서가 CMTS에 도달한 방법
  
  • snmp
  • 컨피그레이션 파일
  • 외부 데이터베이스
  • 기타
  • 인증 정보
  • 컴파일된 정보코드
• 상태/행상태: 인증서 상태
  
  • 활성
  • 서비스 중이 아님
  • 통화 불가능
  • 생성 및 이동
  • 만들기 및 대기
  • 파괴
• 인증서: X509 DER로 인코딩된 인증 기관 인증서
• 유효 날짜: CMTS 시스템 날짜 및 시간을 기준으로 Manu 인증서 유효 기간을 정의하는 시작 및 종료 날짜입니다
  
  • 시작 날짜: Manu 인증서가 유효한 날짜 및 시간
  • 종료 날짜: Manu 인증서가 더 이상 유효하지 않은 날짜 및 시간
• 인증서: X509 DER로 인코딩된 인증 기관 인증서
• 지문: CA 인증서의 SHA-1 해시

uBR10K CLI 명령

이 명령의 출력에는 일부 Manu Cert 정보가 포함됩니다. Manu 인증서 인덱스는 SNMP에서만 얻을 수 있습니다.

• uBR10K CLI EXEC 모드 또는 라인 카드 CLI EXEC 모드에서: uBR10K#show cable privacy manufacturer-cert-list
• uBR10K 라인 카드 CLI EXEC 모드에서: Slot-6-0#show crypto pki certificates

이러한 케이블 인터페이스 컨피그레이션 명령은 해결 및 복구에 사용됩니다

• uBR10K(config-if)#cable privacy retain-failed-certificates

• uBR10K(config-if)#케이블 프라이버시 건너뛰기-유효 기간

DOCSIS-BPI-PLUS-MIB OID

Manu Cert 정보는 SNMP Object Navigator에 설명된 docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1에 정의되어 있습니다.

참고: uBR10k 소프트웨어에서 RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIB가 잘못된 OID MIB 분기/경로로 구현되었습니다. uBR10k 플랫폼은 판매가 종료되었으며 소프트웨어 지원 종료일이 지났으므로 이 소프트웨어 결함에 대한 해결책이 없습니다. 예상 MIB 경로/브랜치 1.3.6.1.2.10.127.6 대신 mib 경로/브랜치 1.3.6.1.2.1.9999는 uBR10k에서 BPI2 MIB/OID와의 SNMP 상호 작용에 사용해야 합니다.
관련 Cisco 버그 ID CSCum28486

다음은 Cisco 버그 ID CSCum28486에 나와 있는 uBR10k의 Manu Cert 정보에 대한 BPI2 MIB OID 전체 경로 관련 정보입니다.

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
  docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
  docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
  docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
  docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
  docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
  docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
  docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
  docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
  docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8

이 문서의 명령 예제는 생략 부호(...)를 사용하여 가독성을 위해 일부 정보가 생략되었음을 나타냅니다.

솔루션

CM 펌웨어 업데이트는 장기적인 최고의 솔루션입니다. Manu 인증서가 만료된 CM이 uBR10K에 등록하고 온라인 상태를 유지할 수 있도록 하는 해결 방법은 이 문서에 설명되어 있지만, 이러한 해결 방법은 단기간에만 사용하는 것이 좋습니다. CM 펌웨어 업데이트가 옵션이 아닌 경우, CM 교체 전략은 보안 및 운영 측면에서 좋은 장기 솔루션입니다. 여기에 설명된 솔루션은 서로 다른 조건 또는 시나리오를 다루고 개별적으로 또는 일부는 서로 조합하여 사용할 수 있습니다.

• CM 펌웨어 업데이트
• 알려진 Manu 인증서를 신뢰됨으로 설정
• 알려진 Manu 인증서가 만료된 후 CM 서비스 복구
• uBR10k에 Unknown Expired Manu 인증서 설치 및 Mark Trusted
• uBR10K CLI 명령을 사용하여 AuthInfo에서 만료된 CM 인증서 및 수동 인증서 추가 허용

참고: BPI를 제거하면 암호화 및 인증이 비활성화되므로 이를 해결할 수 있는 가능성이 최소화됩니다.

CM 펌웨어 업데이트

대부분의 경우 CM 제조업체는 Manu 인증서의 유효 종료일을 연장하는 CM 펌웨어 업데이트를 제공합니다. 이 솔루션은 최상의 옵션이며, Manu Cert가 만료되기 전에 수행할 경우 관련 서비스 영향을 방지합니다. CM은 새 펌웨어를 로드하고 새 Manu Certs 및 CM Certs에 다시 등록합니다. 새 인증서는 올바르게 인증할 수 있으며 CM은 uBR10K에 성공적으로 등록할 수 있습니다. 새 Manu Cert 및 CM Cert는 uBR10K에 이미 설치된 알려진 루트 인증서로 다시 새 인증서 체인을 생성할 수 있습니다.

알려진 Manu 인증서를 신뢰됨으로 설정

CM 제조업체의 폐업으로 인해 CM 펌웨어 업데이트를 사용할 수 없거나 CM 모델에 대한 지원이 더 이상 제공되지 않는 경우, 만료 전에 uBR10k에서 이미 알고 있는 유효 종료일이 가까운 uBR10k에 있는 Manu Certs를 사전에 신뢰할 수 있습니다. Manu Cert 일련 번호, 유효성 종료 날짜 및 상태는 uBR10K CLI 명령으로 확인할 수 있습니다. Manu Cert 일련 번호, Trust State 및 인덱스는 SNMP에서 찾을 수 있습니다.

현재 서비스 중인 모뎀과 온라인 모뎀에 대한 알려진 마누 인증서는 일반적으로 DOCSIS BPI(Baseline Privacy Interface) 프로토콜을 통해 uBR10K에서 학습됩니다. CM에서 uBR10K로 보낸 AUTH-INFO 메시지에는 Manu 인증서가 포함되어 있습니다. 각 고유 Manu 인증서는 uBR10K 메모리에 저장되며 uBR10K CLI 명령 및 SNMP를 사용하여 해당 정보를 볼 수 있습니다.

Manu Cert가 trusted로 표시되면 두 가지 중요한 작업을 수행합니다. 첫째, uBR10K BPI 소프트웨어는 만료된 유효 날짜를 무시할 수 있습니다. 둘째, Manu Cert를 uBR10K NVRAM에 신뢰할 수 있는 것으로 저장합니다. 이렇게 하면 uBR10K 다시 로드 시 Manu 인증서 상태가 유지되므로 uBR10K 다시 로드 시 이 절차를 반복할 필요가 없습니다

CLI 및 SNMP 명령 예는 Manu Cert 인덱스, 일련 번호, 신뢰 상태를 식별하는 방법을 보여줍니다. 그런 다음 해당 정보를 사용하여 신뢰 상태를 신뢰됨으로 변경합니다. 이 예에서는 인덱스 5 및 일련 번호 45529C2654797E1623C6E723180A9E9C가 있는 Manu 인증서에 중점을 둡니다.

uBR10K CLI에서 여러 인증서 정보 보기

이 예에서는 uBR10K CLI 명령이 show crypto pki certificates 및 show cable privacy manufacturer-cert-list를 사용하여 알려진 Manu Cert 정보를 봅니다.

UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open

clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
  Certificate Usage: Not Set
  Issuer:
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
  Subject:
    cn=Arris Cable Modem Root Certificate Authority
    ou=Suwanee\
     Georgia
    ou=DOCSIS
    o=Arris Interactive\
     L.L.C.
    c=US
  Validity Date:
    start date: 20:00:00 EDT Sep 11 2001
    end   date: 19:59:59 EDT Sep 11 2021
  Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit

[Connection to 127.0.0.81 closed by foreign host]

uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained  <-- Cert Trust State is Chained
Source: Auth Info    <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C  <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

원격 디바이스에서 SNMP를 사용하여 Manu 인증서 정보 보기

관련 uBR10K SNMP OID:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6

이 예에서는 snmpwalk 명령을 사용하여 uBR10k Manu 인증서 테이블에서 정보를 봅니다. 알려진 Manu Cert 일련 번호는 Manu Cert Index와 상관관계가 있을 수 있으며, 이를 사용하여 신뢰 상태를 설정할 수 있습니다. 특정 SNMP 명령 및 형식은 SNMP 명령/요청을 실행하는 데 사용되는 디바이스 및 운영 체제에 따라 다릅니다. 

Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)

Expired Known Manu Cert Trust State(만료된 알려진 Manu 인증서 신뢰 상태)를 Trusted with SNMP(SNMP를 사용하여 신뢰)로 설정합니다.

OID 값: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5(uBR10k의 OID는 1.3.6.1.2.1.9999.1.2.5.2.1.5)

1: 신뢰할 수 있는
2: 신뢰 할 수 없음
3: 사슬로 묶여
4: 루트

이 예에서는 인덱스 = 5, 일련 번호 = 45529C2654797E1623C6E723180A9E9C를 사용하는 Manu 인증서에 대해 신뢰 상태가 체인에서 트러스트로 변경된 것을 보여줍니다.

Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1

uBR10K CLI 또는 SNMP로 Manu Cert Changed(Manu 인증서 변경) 확인

• 신뢰 값이 체인에서 "신뢰됨"으로 변경되었습니다.
• 소스 값이 "SNMP"로 변경되었습니다. 이는 인증서가 BPI 프로토콜 AuthInfo 메시지가 아닌 SNMP에 의해 마지막으로 관리되었음을 나타냅니다

Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)


uBR10K-01#show cable privacy manufacturer-cert-list 
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

알려진 Manu 인증서가 만료된 후 CM 서비스 복구

이전에 알려진 Manu 인증서는 일반적으로 이전 CM 등록에서 AuthInfo 메시지의 결과로 uBR10K 데이터베이스에 이미 있는 인증서입니다. Manu Cert가 trusted로 표시되지 않고 인증서가 만료되면 만료된 Manu Cert를 사용하는 모든 CM은 이후에 오프라인으로 전환되어 등록을 시도할 수 있지만 uBR10K에서 reject(pk)로 표시하므로 서비스가 제공되지 않습니다. 이 섹션에서는 이 상태에서 복구하고 만기된 마누 인증서가 있는 CM이 등록되고 서비스 상태를 유지하도록 허용하는 방법에 대해 설명합니다.

만료된 알려진 Manu 인증서 일련 번호 식별

reject(pk)에 걸린 CM에 대한 Manu Cert 정보는 uBR10K CLI 명령 show cable modem <CM MAC Address> privacy를 사용하여 확인할 수 있습니다.

show cable modem 1234.5678.9abc privacy verbose

MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information

만료된 알려진 Manu 인증서의 인덱스를 식별하고 Manu 인증서 신뢰 상태를 신뢰됨으로 설정합니다

이전 섹션에서 설명한 것과 동일한 uBR10K CLI 및 SNMP 명령을 사용하여 Manu Cert 일련 번호를 기반으로 Manu Cert의 인덱스를 식별합니다.  만료된 Manu Cert 인덱스 번호를 사용하여 Manu Cert 트러스트 상태를 SNMP를 통해 트러스트되도록 설정합니다.

jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)

uBR10K에 Unknown Expired Manu 인증서 설치 및 Mark Trusted

만료된 Manu Cert가 uBR10K에 알려지지 않아 만료 전에 관리(신뢰할 수 있는 것으로 표시)할 수 없고 복구할 수 없는 경우 Manu Cert를 uBR10K에 추가하고 신뢰할 수 있는 것으로 표시해야 합니다. 이 상태는 이전에 알 수 없고 uBR10K에 등록되지 않은 CM이 알 수 없고 만료된 Manu 인증서로 등록을 시도할 때 발생합니다.

Manu 인증서는 SNMP Set 또는 케이블 프라이버시 retain-failed-certificates 컨피그레이션에 의해 uBR10K에 추가할 수 있습니다.

SNMP를 사용하여 uBR10K에 만료된 알 수 없는 Manu 인증서 추가

제조업체 인증서를 추가하려면 docsBpi2CmtsCACertTable 테이블에 항목을 추가합니다. 각 항목에 대해 이러한 특성을 지정합니다.

• docsBpi2CmtsCACertStatus 1.3.6.1.2.1.9999.1.2.5.2.1.7(행 항목을 만들려면 4로 설정)
• docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8(실제 X.509 인증서의 경우 X509 인증서 값으로 16진수 데이터)
• docsBpi2CmtsCACertTrust 1.3.6.1.2.1.9999.1.2.5.2.1.5(Manu Cert Trust 상태를 신뢰받는 것으로 설정하려면 1로 설정)

대부분의 운영 체제는 인증서를 지정하는 16진수 문자열을 입력하는 데 필요한 만큼의 입력 줄을 받아들일 수 없습니다. 따라서 이러한 특성을 설정하려면 그래픽 SNMP 관리자를 사용하는 것이 좋습니다. 여러 인증서의 경우 스크립트 파일을 사용할 수 있습니다(편리한 경우).

이 예의 SNMP 명령 및 결과에서는 ASCII DER Encoded ASN.1 X.509 인증서를 uBR10K 데이터베이스에 다음과 같은 매개변수로 추가합니다.

Index = 11
Status = createAndGo (4)
Trust state =  trusted (1)

추가된 Manu 인증서에 고유한 인덱스 번호를 사용합니다. 만료된 Manu Cert가 추가되면 수동으로 Trusted로 설정되지 않는 한 State는 신뢰할 수 없습니다. 자체 서명 인증서가 추가된 경우 uBR10K에서 인증서를 수락하려면 uBR10K 케이블 인터페이스 컨피그레이션에서 cable privacy accept-self-signed-certificate 명령을 구성해야 합니다. 

이 예에서는 가독성을 위해 인증서 내용의 일부가 생략되며, 이는 elepsis(...)로 표시됩니다. 

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01 
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53 
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c 
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 = 
30 82  04 00   30 82  02 e8    a0 03  02 01   02 02  10 43    
74 98  f0 9a   7d cb  c1 fa    7a a1  01 fe   97 6e  40 30    
...    
f9 3b  59 5e   e2 05  0e 89    e5 9d  2a 40   c2 9b  4f 21     
1f 1b  b7 2c   13 19  3d 56    ab 4b  09 a9   1e 62  5c ee     
c0 d2  ba 2d    
docsBpi2CmtsCACertTrust.11 = trusted(1)

CLI에서 CM 등록 중에 만료된 Manu 인증서 추가

Manu 인증서는 일반적으로 CM에서 uBR10K로 보낸 BPI 프로토콜 AuthInfo 메시지에 따라 uBR10K 데이터베이스에 들어갑니다. AuthInfo 메시지에서 수신된 각 고유하고 유효한 Manu 인증서가 데이터베이스에 추가됩니다. Manu Cert를 CMTS에 알 수 없고(데이터베이스에 없음) 유효 날짜가 만료된 경우 AuthInfo가 거부되고 Manu Cert가 uBR10K 데이터베이스에 추가되지 않습니다. uBR10K 케이블 인터페이스 컨피그레이션 아래에 케이블 프라이버시 retain-failed-certificates 해결 방법 컨피그레이션이 있는 경우 AuthInfo를 통해 잘못된 Manu 인증서를 uBR10K에 추가할 수 있습니다. 이렇게 하면 만료된 Manu 인증서를 신뢰할 수 없는 것으로 uBR10K 데이터베이스에 추가할 수 있습니다. 만료된 Manu 인증서를 사용하려면 SNMP를 사용하여 신뢰된 것으로 표시해야 합니다.

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end

만료된 Manu 인증서가 uBR10K에 추가되고 ttrusted로 표시된 경우 uBR10K에 다른 알 수 없는 만료된 Manu 인증서를 추가하지 않으려면 케이블 프라이버시 retain-failed-certificates 컨피그레이션을 제거하는 것이 좋습니다.

uBR10K CLI 명령을 사용하여 AuthInfo에서 만료된 CM 인증서 및 수동 인증서 추가 허용

경우에 따라 CM 인증서가 만료됩니다. 이러한 상황에서는 케이블 프라이버시 유지-실패-인증서 컨피그레이션 외에도 uBR10K에서 다른 컨피그레이션이 필요합니다. 각 관련 uBR10K MAC Domain(Cable Interface)(uBR10K MAC 도메인(케이블 인터페이스))에서 케이블 프라이버시 건너뛰기-유효 기간 컨피그레이션을 추가하고 컨피그레이션을 저장합니다. 이로 인해 uBR10K는 CM BPI AuthInfo 메시지에서 전송된 모든 CM 및 Manu 인증서에 대해 만료된 유효 기간 검사를 무시합니다.  

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start

추가 정보

MAC 도메인/케이블 인터페이스 컨피그레이션 고려 사항

케이블 프라이버시 retain-failed-certificates 및 케이블 프라이버시 skip-validity-period 컨피그레이션 명령은 MAC 도메인/케이블 인터페이스 레벨에서 사용되며 제한적이지 않습니다. retain-failed-certificates 명령은 실패한 인증서를 uBR10K 데이터베이스에 추가할 수 있으며 skip-validity-period 명령은 모든 Manu 및 CM 인증서에 대한 유효성 날짜 검사를 건너뛸 수 있습니다.

SNMP 패킷 크기 고려 사항

대형 인증서를 사용할 경우 uBR10K SNMP 컨피그레이션이 추가로 필요할 수 있습니다. cert OctetString이 SNMP 패킷 크기보다 큰 경우 SNMP 인증서 데이터 가져오기는 NULL일 수 있습니다.  예:

uBR10K#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end

Manu 인증서 디버그

uBR10K의 Manu Cert debug는 debug cable privacy ca-cert 및 debug cable mac-address <cm mac-address> 명령에서 지원됩니다.  추가 디버그 정보는 지원 문서 모뎀 중단 상태 진단을 위한 DOCSIS 인증서를 디코딩하는 방법에 설명되어 있습니다.

관련 지원 문서

• cBR-8 제품 게시판의 케이블 모뎀 및 만료 예정 제조업체 인증서 - Cisco
• Cisco uBR10000 Series Universal Broadband 라우터
• 기술 지원 및 문서 − Cisco Systems