토큰 기반 컨피그레이션을 위한 Umbrella 루트 인증서 갱신

소개

이 문서에서는 토큰 기반 등록이 Cisco IOS® XE SD-WAN 디바이스에 사용될 때 Umbrella 루트 인증서를 갱신하는 프로세스에 대해 설명합니다. 

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• PKI(Public Key Infrastructure)에 대한 기본 지식
• Cisco SD-WAN 기술에 대한 지식

이 워크플로는 토큰 기반 Umbrella 등록을 사용하는 경우에만 사용됩니다. API 기반 등록을 사용하는 경우, Field Notice FN74166에 설명된 단계를 따라 루트 인증서를 설치합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C8000V 버전 17.6.6
• vManage 버전 20.6.6

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경

Umbrella에서 2024년 5월 29일부터 FQDN api.opendns.com에 대한 인증서를 갱신했으며 해당 인증서는 새 root-ca DigiCert Global Root G2에 의해 서명되었습니다.  Edge 디바이스에 PKI 인증서 목록에 이 root-ca가 없고 토큰 기반 Umbrella 등록을 사용하는 경우 Umbrella 등록이 실패합니다. 이 문서의 워크플로에서는 Edge 라우터에 root-ca를 설치하는 방법을 다룹니다.

수행 단계

Edge 장치에 토큰 기반 Umbrella 등록이 있는지 확인하십시오. 이것이 컨피그레이션의 모습입니다.

parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

Edge 디바이스 등록 프로세스를 시작하고 루트 인증서를 가져와 설치하는 데 필요한 기타 컨피그레이션입니다.

parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

에지 디바이스에서 루트 인증서 trustidrootx3_ca_092024.ca가 위치 /bootflash에 존재하는지 확인합니다.

cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

위치 /bootflash/sdwan의 Edge 디바이스에서 이 루트 인증서 "DigiCert Global Root G2"를 이름 trustidrootx3_ca_092024.ca로 다운로드합니다.

-----BEGIN CERTIFICATE-----
MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
MjAeFw0xMzA4MDExMjAwMDBaFw0zODAxMTUxMjAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuzfNNNx7a8myaJCtSnX/RrohCgiN9RlUyfuI
2/Ou8jqJkTx65qsGGmvPrC3oXgkkRLpimn7Wo6h+4FR1IAWsULecYxpsMNzaHxmx
1x7e/dfgy5SDN67sH0NO3Xss0r0upS/kqbitOtSZpLYl6ZtrAGCSYP9PIUkY92eQ
q2EGnI/yuum06ZIya7XzV+hdG82MHauVBJVJ8zUtluNJbd134/tJS7SsVQepj5Wz
tCO7TG1F8PapspUwtP1MVYwnSlcUfIKdzXOS0xZKBgyMUNGPHgm+F6HmIcr9g+UQ
vIOlCsRnKPZzFBQ9RnbDhxSJITRNrw9FDKZJobq7nMWxM4MphQIDAQABo0IwQDAP
BgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBhjAdBgNVHQ4EFgQUTiJUIBiV
5uNu5g/6+rkS7QYXjzkwDQYJKoZIhvcNAQELBQADggEBAGBnKJRvDkhj6zHd6mcY
1Yl9PMWLSn/pvtsrF9+wX3N3KjITOYFnQoQj8kVnNeyIv/iPsGEMNKSuIEyExtv4
NeF22d+mQrvHRAiGfzZ0JFrabA0UWTW98kndth/Jsw1HKj2ZL7tcu7XUIOGZX1NG
Fdtom/DzMNU+MeKNhJ7jitralj41E6Vf8PlwUHBHQRFXGU7Aj64GxJUTFy8bJZ91
8rGOmaFvE7FBcf6IKshPECBV1/MUReXgRPTqh5Uykw7+U0b6LJ3/iyK5S9kJRaTe
pLiaWN0bfVKfjllDiIGknibVb63dDcY3fe0Dkhvld1927jyNxF1WW6LZZm6zNTfl
MrY=
-----END CERTIFICATE-----

이전 루트 인증서의 이름을 trustidrootx3_ca_092024.ca.bkp로 변경하여 /bootflash:trustidrootx3_ca_092024.ca에서 /bootflash/sdwan으로 이동합니다.

copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

/bootflash에서 루트 인증서 trustidrootx3_ca_092024.ca를 삭제합니다.

cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

/bootflash/sdwan의 새 루트 인증서 trustidrootx3_ca_092024.ca를 /bootflash로 /bootflash.

copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

에지 디바이스를 다시 로드합니다.

참고: 토큰 기반 Umbrella 등록이 있는 경우 이 프로세스를 따라야 합니다. API 기반 등록을 사용하는 경우 이 문서에서 참조하는 필드 알림의 프로세스를 따라야 합니다.

문제 해결

이러한 디버그는 에지 디바이스에서 활성화하여 새 루트 인증서가 설치되는지 확인할 수 있습니다.

cedge-ISR1100-4G#debug umbrella device-registration

로그를 보려면 로깅을 표시하거나 /tmp/rp/trace의 IOSRP_R0 파일을 확인하십시오. 이러한 로그가 표시됩니다.

성공

2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

실패

2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

확인

인증서가 Edge 디바이스에 성공적으로 설치되었는지 확인하려면 다음 명령을 사용할 수 있습니다.

cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer

cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

관련 정보

• Cisco Umbrella 통합
• 기술 지원 및 문서 − Cisco Systems