cBR-8에서 만료된 제조업체 인증서 복구 및 해결 방법

다운로드 옵션

  • PDF     (353.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (87.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (87.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 12월 8일
문서 ID:217589

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 제조업체 인증서(Manu Cert) 만료로 인해 발생하는 cBR-8 CMTS(Cable Modem Termination System)에 미치는 CM(Cable Modem) reject(pk) 서비스 영향을 방지, 해결 및 복구하는 옵션에 대해 설명합니다.

    문제

    CM이 cBR-8에서 reject(pk) 상태로 고정되어 있는 원인은 여러 가지가 있습니다. 한 가지 원인은 Manu Cert 만료입니다. Manu Cert는 CM과 CMTS 간의 인증에 사용됩니다. 이 문서에서 Manu 인증서는 DOCSIS 3.0 Security Specification CM-SP-SECv3.0이 CableLabs Mfg CA 인증서 또는 Manufacturer CA 인증서로 지칭하는 것입니다. Expire(만료)는 cBR-8 시스템 날짜/시간이 Manu 인증서 유효 종료 날짜/시간을 초과함을 의미합니다.

    Manu Cert가 만료된 후 cBR-8에 등록을 시도하는 CM은 CMTS에서 reject(pk)로 표시되어 서비스 중이 아닙니다. Manu Cert가 만료될 때 cBR-8에 이미 등록된 CM은 다음에 CM이 등록을 시도할 때까지 서비스 상태를 유지할 수 있습니다. 이는 단일 CM 오프라인 이벤트, cBR-8 Cable Linecard 재시작, cBR-8 다시 로드 또는 기타 이벤트가 CM 등록을 트리거한 후에 발생할 수 있습니다. 이 때 CM은 인증에 실패하고 cBR-8에 의해 reject(pk)로 표시되며 서비스 중이 아닙니다.

    이 문서의 정보는 cBR-8 Product Bulletin 케이블 모뎀 및 만료 예정 제조업체 인증서에 게시된 내용을 확장하여 서식을 다시 지정합니다.

    참고: Cisco 버그 ID CSCv21785; 일부 버전의 Cisco IOS XE에서는 이 버그로 인해 cBR-8 다시 로드 후 신뢰할 수 있는 Manu 인증서의 유효성 검사가 실패합니다. 어떤 경우에는 Manu 인증서가 있지만 더 이상 신뢰할 수 있는 상태가 아닙니다. 이 경우 Manu Cert trust(Manu 인증서 신뢰) 상태는 이 문서에 설명된 단계를 통해 trusted(신뢰)로 변경될 수 있습니다. Manu Cert가 show cable privacy manufacturer-cert-list 명령의 출력에 없으면 이 문서에 설명된 단계를 사용하여 수동으로 또는 AuthInfo에 의해 Manu Cert를 다시 추가할 수 있습니다.

    Manu 인증서 정보

    Manu Cert 정보는 원격 디바이스에서 cBR-8 CLI 명령 또는 SNMP(Simple Network Management Protocol) 명령을 통해 볼 수 있습니다. cBR-8 CLI는 SNMP set, get 및 get-bulk 명령도 지원합니다. 이러한 명령 및 정보는 이 문서에 설명된 솔루션에서 사용됩니다.

    Manu 인증서 정보 필드 및 특성

    • 색인: cBR-8 데이터베이스/MIB의 각 Manu 인증서에 할당되는 고유한 정수
    • 제목:  X509 인증서에서 인코딩된 것과 정확히 동일한 주체 이름
      • cn: 공용 이름
      • ou: 조직단위
      • o: 조직
      • l: 구/군/시
      • s: 시/도 이름
      • c: 국가 이름
    • 발급자: 인증 기관
    • 일련 번호: 16진수 8진수 문자열로 표시되는 인증서 일련 번호
    • 상태: 인증서의 신뢰 상태
      • 신뢰할 수 있는
      • 신뢰 할 수 없음
      • 사슬로 묶여
      • 루트
    • 출처: 인증서가 CMTS에 도달한 방법
      • snmp
      • 컨피그레이션 파일
      • 외부 데이터베이스
      • 기타
      • 인증 정보
      • 컴파일된 정보코드
    • 상태/행상태: 인증서 상태
      • 활성
      • 서비스 중이 아님
      • 통화 불가능
      • 생성 및 이동
      • 작성 및 대기
      • 파괴
    • 인증서: X509 DER로 인코딩된 인증 기관 인증서
    • 유효 날짜: CMTS 시스템 날짜 및 시간을 기준으로 Manu 인증서 유효 기간을 정의하는 시작 및 종료 날짜입니다
      • 시작 날짜: Manu 인증서가 유효한 날짜 및 시간
      • 종료 날짜: Manu 인증서가 더 이상 유효하지 않은 날짜 및 시간
    • 인증서: X509 DER로 인코딩된 인증 기관 인증서
    • 지문: CA 인증서의 SHA-1 해시

    cBR-8 CLI 명령

    Manu Cert(수동 인증서) 정보는 이러한 cBR-8 CLI 명령으로 볼 수 있습니다.

    • cBR-8 CLI EXEC 모드 또는 라인 카드 CLI EXEC 모드에서: CBR8-1#show cable privacy manufacturer-cert-list
    • cBR-8 라인 카드 CLI EXEC 모드에서: Slot-6-0#show crypto pki certificates

    이러한 Cisco IOS® XE SNMP 명령은 cBR-8 CLI에서 SNMP OID를 가져오고 설정하는 데 사용됩니다.

    이 cBR-8 케이블 인터페이스 컨피그레이션 명령은 이 문서의 솔루션 섹션에서 설명하는 해결 방법 및 복구에 사용됩니다.

    DOCSIS-BPI-PLUS-MIB OID

    Manu Cert 정보는 SNMP Object Navigator에 설명된 docsBpi2CmtsCACertEntry OID Branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1에 정의되어 있습니다.

    관련 SNMP OID

    docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

    명령 예에서 생략 부호(...)는 가독성을 위해 일부 정보가 생략되었음을 나타냅니다.

    솔루션

    CM 펌웨어 업데이트는 장기적인 최고의 솔루션입니다. 이 문서에 설명된 해결 방법을 사용하면 만기된 Manu 인증서를 가진 CM이 cBR-8에 등록하고 온라인 상태로 유지될 수 있지만, 이러한 해결 방법은 단기간에만 사용하는 것이 좋습니다. CM 펌웨어 업데이트가 옵션이 아닌 경우, CM 교체 전략은 보안 및 운영 측면에서 좋은 장기 솔루션입니다. 여기에 설명된 솔루션은 서로 다른 조건 또는 시나리오를 다루고 개별적으로 또는 일부는 서로 조합하여 사용할 수 있습니다.

    참고: BPI를 제거하면 암호화 및 인증이 비활성화되므로 이를 해결할 수 있는 가능성이 최소화됩니다.

    CM 펌웨어 업데이트

    대부분의 경우 CM 제조업체는 Manu 인증서의 유효 종료일을 연장하는 CM 펌웨어 업데이트를 제공합니다. 이 솔루션은 최상의 옵션이며, Manu Cert가 만료되기 전에 수행할 경우 관련 서비스 영향을 방지합니다. CM은 새 펌웨어를 로드하고 새 Manu Certs 및 CM Certs에 다시 등록합니다. 새 인증서는 올바르게 인증할 수 있으며 CM은 cBR-8에 성공적으로 등록할 수 있습니다. 새 Manu 인증서 및 CM 인증서는 cBR-8에 이미 설치된 알려진 루트 인증서로 새 인증서 체인을 다시 만들 수 있습니다.

    알려진 Manu 인증서를 신뢰됨으로 설정

    CM 제조업체의 폐업으로 인해 CM 펌웨어 업데이트를 사용할 수 없거나 CM 모델에 대한 지원이 더 이상 제공되지 않는 등의 이유로 cBR-8에서 이미 알려진 유효 종료일이 가까운 시일 내에 있는 Manu Certs를 유효 종료일 이전에 cBR-8에서 미리 신뢰할 수 있도록 표시할 수 있습니다. cBR-8 CLI 명령 및 SNMP는 일련 번호 및 신뢰 상태와 같은 Manu Cert 정보를 식별하는 데 사용되며, SNMP는 Manu Cert 신뢰 상태를 cBR-8에서 신뢰받는 상태로 설정하는 데 사용됩니다. 그러면 관련 CM이 등록하고 서비스 상태를 유지할 수 있습니다.

    현재 서비스 중인 CM 및 온라인 CM에 대한 알려진 마누 인증서는 일반적으로 DOCSIS BPI(Baseline Privacy Interface) 프로토콜을 통해 CM에서 cBR-8에 의해 학습됩니다. CM에서 cBR-8로 보낸 AuthInfo 메시지에는 Manu 인증서가 포함되어 있습니다. 각 고유 Manu 인증서는 cBR-8 메모리에 저장되며 cBR-8 CLI 명령 및 SNMP에서 해당 정보를 볼 수 있습니다.

    Manu Cert가 trusted로 표시되면 두 가지 중요한 작업을 수행합니다. 먼저 cBR-8 BPI 소프트웨어가 만료된 유효 날짜를 무시할 수 있습니다. 둘째, Manu Cert를 cBR-8 NVRAM에 신뢰할 수 있는 것으로 저장합니다. 이렇게 하면 cBR-8 다시 로드 시 Manu Cert 상태가 유지되므로 cBR-8 다시 로드 시 이 절차를 반복할 필요가 없습니다.

    CLI 및 SNMP 명령 예는 Manu Cert 인덱스, 일련 번호 및 신뢰 상태를 식별하는 방법을 보여줍니다. 그런 다음 해당 정보를 사용하여 신뢰 상태를 신뢰됨으로 변경합니다. 이 예에서는 인덱스 4 및 일련 번호가 437498F09A7DCBC1FA7AA101FE976E40인 Manu 인증서를 중점적으로 다룹니다.

    cBR-8 CLI에서 Manu 인증서 정보 보기

    이 예에서는 cBR-8 CLI 명령 show cable privacy manufacturer-cert-list를 사용합니다.

    CBR8-1#show cable privacy manufacturer-cert-list

    Cable Manufacturer Certificates:

    Index: 4
    Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
    Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
    State: Chained
    Source: Auth Info
    RowStatus: Active
    Serial:      437498F09A7DCBC1FA7AA101FE976E40
    Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
    Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

    Index: 5
    Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
    Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
    State: Chained
    Source: Auth Info
    RowStatus: Active
    Serial:      701F760559283586AC9B0E2666562F0E
    Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
    Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

    cBR-8 CLI에서 SNMP를 사용하여 Manu 인증서 정보 보기

    이 예에서는 cBR-8 CLI 명령 snmp get-bulk가 사용됩니다. 인증서 인덱스 4 및 5는 CMTS 메모리에 저장된 Manu 인증서입니다. 인덱스 1, 2 및 3은 루트 인증서입니다. 루트 인증서는 만료 날짜가 훨씬 더 길기 때문에 여기에서 문제가 되지 않습니다. 

    docsBpi2CmtsCACertSubject
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    SNMP Response: reqid 1752673, errstat 0, erridx 0 
    docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
    docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
    docsBpi2CmtsCACertSubject.3 = CableLabs 
    docsBpi2CmtsCACertSubject.4 = Motorola 
    docsBpi2CmtsCACertSubject.5 = CableLabs

    docsBpi2CmtsCACertIssuer
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    SNMP Response: reqid 1752746, errstat 0, erridx 0 
    docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
    docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
    docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
    docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
    docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    SNMP Response: reqid 2300780, errstat 0, erridx 0 
    docsBpi2CmtsCACertSerialNumber.1 = 
    58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    docsBpi2CmtsCACertSerialNumber.2 = 
    63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    docsBpi2CmtsCACertSerialNumber.3 = 
    62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    docsBpi2CmtsCACertSerialNumber.4 = 
    43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    docsBpi2CmtsCACertSerialNumber.5 = 
    70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

    docsBpi2CmtsCACertTrust
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    SNMP Response: reqid 1752778, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.1 = 4 
    docsBpi2CmtsCACertTrust.2 = 4 
    docsBpi2CmtsCACertTrust.3 = 4 
    docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
    docsBpi2CmtsCACertTrust.5 = 3

    docsBpi2CmtsCACertSource
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    SNMP Response: reqid 1752791, errstat 0, erridx 0 
    docsBpi2CmtsCACertSource.1 = 4 
    docsBpi2CmtsCACertSource.2 = 4 
    docsBpi2CmtsCACertSource.3 = 4 
    docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
    docsBpi2CmtsCACertSource.5 = 5

    docsBpi2CmtsCACertStatus
    CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    SNMP Response: reqid 1752804, errstat 0, erridx 0 
    docsBpi2CmtsCACertStatus.1 = 1 
    docsBpi2CmtsCACertStatus.2 = 1 
    docsBpi2CmtsCACertStatus.3 = 1 
    docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
    docsBpi2CmtsCACertStatus.5 = 1

    원격 디바이스에서 SNMP를 사용하여 Manu 인증서 정보 보기

    이 문서의 원격 디바이스 SNMP 예에서는 원격 Ubuntu Linux 서버의 SNMP 명령을 사용합니다. 특정 SNMP 명령 및 형식은 SNMP 명령을 실행하는 데 사용되는 디바이스 및 운영 체제에 따라 다릅니다.

    docsBpi2CmtsCACertSubject
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

    docsBpi2CmtsCACertIssuer
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

    docsBpi2CmtsCACertSerialNumber
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

    docsBpi2CmtsCACertTrust
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

    docsBpi2CmtsCACertSource
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

    docsBpi2CmtsCACertStatus
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

    CLI에서 Manu Cert Validity End Date(Manu 인증서 유효 종료일) 확인

    cBR-8 linecard CLI 명령 show crypto pki certificates를 사용하여 Manu Cert 유효 종료일을 확인합니다. 이 명령 출력에는 Manu Cert Index 가 포함되지 않습니다. 인증서 일련 번호를 사용하여 이 명령에서 학습된 Manu 인증서 정보를 SNMP에서 학습된 Manu 인증서 정보와 연결할 수 있습니다.

    CBR8-1#request platform software console attach

    request platform software console attach 6/0 
    #
    # Connecting to the CLC console on 6/0.
    # Enter Control-C to exit the console connection.
    #
    Slot-6-0>enable
    Slot-6-0#show crypto pki certificates

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
      Issuer:
         cn=CableLabs Root Certification Authority
         ou=Root CA01
         o=CableLabs
         c=US
       Subject: 
         cn=CableLabs Device Certification Authority
         ou=Device CA01
         o=CableLabs 
         c=US
      Validity Date: 
         start date: 00:00:00 GMT Oct 28 2014
         end   date: 23:59:59 GMT Oct 27 2049
      Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
      Certificate Usage: Signature
      Issuer: 
        cn=DOCSIS Cable Modem Root Certificate Authority
        ou=Cable Modems
        o=Data Over Cable Service Interface Specifications
        c=US
       Subject:
        cn=Motorola Corporation Cable Modem Root Certificate Authority
        ou=ASG
        ou=DOCSIS
        l=San Diego
        st=California
        o=Motorola Corporation
        c=US
       Validity Date: 
         start date: 00:00:00 GMT Jul 11 2001
         end   date: 23:59:59 GMT Jul 10 2021
      Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
      Certificate Usage: Signature
      Issuer:
        cn=CableLabs Root Certification Authority
        ou=Root CA01
        o=CableLabs
        c=US
       Subject: 
        cn=CableLabs Root Certification Authority
        ou=Root CA01
        o=CableLabs
        c=US
       Validity Date:
         start date: 00:00:00 GMT Oct 28 2014
         end   date: 23:59:59 GMT Oct 27 2064
       Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
      Certificate Usage: Signature
      Issuer:
         cn=Euro-DOCSIS Cable Modem Root CA
         ou=Cable Modems
         o=tComLabs - Euro-DOCSIS
         c=BE   Subject: 
         cn=Euro-DOCSIS Cable Modem Root CA 
         ou=Cable Modems
         o=tComLabs - Euro-DOCSIS
         c=BE
       Validity Date: 
        start date: 00:00:00 GMT Sep 21 2001
        end   date: 23:59:59 GMT Sep 20 2031
       Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
       Certificate Usage: Signature
      Issuer: 
         cn=DOCSIS Cable Modem Root Certificate Authority
         ou=Cable Modems
         o=Data Over Cable Service Interface Specifications
         c=US
       Subject:
          cn=DOCSIS Cable Modem Root Certificate Authority
          ou=Cable Modems
          o=Data Over Cable Service Interface Specifications
          c=US
        Validity Date:
          start date: 00:00:00 GMT Feb 1 2001
          end   date: 23:59:59 GMT Jan 31 2031
       Associated Trustpoints: DOCSIS-US-TRUSTPOINT

    Manu Cert Trust State(Manu 인증서 신뢰 상태)를 Trusted(신뢰할 수 있음)로 설정

    이 예에서는 Manu Cert(인덱스 = 4, 일련 번호 = 437498f09a7dcbc1fa7aa101fe976e40)에 대해 신뢰 상태가 체인에서 트러스트로 변경된 것을 보여줍니다

    OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 값:

    1: 신뢰할 수 있는
    2: 신뢰 할 수 없음
    3: 사슬로 묶여
    4: 루트

    이 예에서는 트러스트 상태를 변경하는 데 사용된 cBR-8 CLI snmp-set 명령을 보여줍니다

    CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
    SNMP Response: reqid 2305483, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

    이 예에서는 원격 디바이스에서 SNMP를 사용하여 신뢰 상태를 변경하는 방법을 보여 줍니다

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

    cBR-8 CLI 또는 SNMP로 Manu Cert Changes(수동 인증서 변경) 확인

    • 신뢰 값이 체인에서 트러스트로 변경되었습니다.
    • 소스 값이 SNMP로 변경되었습니다. 이는 인증서가 BPI 프로토콜 AuthInfo 메시지가 아닌 SNMP에 의해 마지막으로 관리되었음을 나타냅니다

    이 예에서는 변경 사항을 확인하는 데 사용되는 cBR-8 CLI 명령을 보여줍니다

    CBR8-1#show cable privacy manufacturer-cert-list
    Cable Manufacturer Certificates:
    ...
    Index: 4
    Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
    Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
    State: Trusted
    Source: SNMP
    RowStatus: Active
    Serial:      437498F09A7DCBC1FA7AA101FE976E40
    Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
    Fingerprint: D41D8CD98F00B204E9800998ECF8427E
    ...

    이 예에서는 원격 디바이스에서 SNMP를 사용하여 변경 사항을 확인하는 방법을 보여 줍니다

    jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

    jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

    알려진 Manu 인증서가 만료된 후 CM 서비스 복구

    이전에 알려진 Manu 인증서는 일반적으로 이전 CM 등록의 AuthInfo 메시지의 결과로 cBR-8 데이터베이스에 이미 존재하는 인증서입니다. Manu Cert가 trusted로 표시되어 있지 않고 만료된 경우 만료된 Manu Cert를 사용하고 오프라인으로 전환된 CM은 다시 등록할 수 없으며 reject(pk)로 표시됩니다. 이 섹션에서는 이 상태에서 복구하고 만기된 마누 인증서가 있는 CM이 등록되고 서비스 상태를 유지하도록 허용하는 방법에 대해 설명합니다.

    CM이 온라인 상태가 되지 않고 만료된 Manu 인증서의 결과로 reject(pk)로 표시되면 syslog 메시지가 생성되고 CM MAC 주소 및 만료된 Manu 인증서 일련 번호가 포함됩니다.

    cBR-8 로그 메시지에서 만료된 Manu 인증서 일련 번호 식별

    CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

    만료된 Manu 인증서의 인덱스를 식별하고 Manu 인증서 신뢰 상태를 신뢰됨으로 설정합니다

    이 예에서는 로그 메시지에서 Manu Cert 일련 번호의 인덱스를 식별하는 데 사용된 cBR-8 CLI SNMP 명령을 보여 줍니다. 이 명령은 Manu Cert 신뢰 상태를 신뢰받는 것으로 설정하는 데 사용됩니다.

    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
    SNMP Response: reqid 2351849, errstat 0, erridx 0 
    docsBpi2CmtsCACertSerialNumber.1 = 
    58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    docsBpi2CmtsCACertSerialNumber.2 = 
    63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    docsBpi2CmtsCACertSerialNumber.3 = 
    62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    docsBpi2CmtsCACertSerialNumber.4 = 
    43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    docsBpi2CmtsCACertSerialNumber.5 = 
    70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

    CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
    SNMP Response: reqid 2353143, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

    다음 예에서는 원격 디바이스에서 SNMP 명령을 사용하여 로그 메시지에서 Manu Cert 일련 번호에 대한 인덱스를 식별하고, 이를 사용하여 Manu Cert 트러스트 상태를 신뢰할 수 있는 상태로 설정하는 방법을 보여 줍니다.

    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

    cBR-8에 Unknown Expired Manu Cert(알 수 없는 만료 Manu 인증서) 설치 및 Mark Trusted(신뢰할 수 있는 것으로 표시)

    만료된 Manu 인증서가 cBR-8에 알려지지 않은 경우 만료 전에 관리(신뢰할 수 있는 것으로 표시)할 수 없으며 복구할 수 없습니다. 이는 이전에 알 수 없고 cBR-8에 등록되지 않은 CM이 알 수 없고 만료된 Manu 인증서로 등록을 시도할 때 발생합니다. Manu Cert는 SNMP가 원격 디바이스에서 cBR-8에 추가하거나 케이블 프라이버시 retain-failed-certificates cBR-8 케이블 인터페이스 컨피그레이션을 사용하여 AuthInfo에서 만료된 Manu Cert를 추가할 수 있도록 해야 합니다. 인증서 데이터의 문자 수가 CLI에서 허용하는 최대 문자 수를 초과하므로 cBR-8 CLI SNMP 명령을 사용하여 인증서를 추가할 수 없습니다.  자체 서명 인증서를 추가하는 경우 cBR-8에서 인증서를 수락하려면 cBR-8 케이블 인터페이스에서 cable privacy accept-self-signed-certificate 명령을 구성해야 합니다. 

    SNMP를 사용하여 cBR-8에 만료된 Manu 인증서 추가

    이 docsBpi2CmtsCACertTable OID 값을 사용하여 Manu Cert를 새 테이블 항목으로 추가합니다. docsBpi2CmtsCACert OID에 의해 정의된 Manu 인증서의 16진수 값은 CA 인증서 덤프 단계에서 학습할 수 있습니다. 이 단계는 지원 문서 How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis에서 설명합니다.

    docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
    docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
    docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

    추가된 Manu 인증서에 고유한 인덱스 번호를 사용합니다. cBR-8에 이미 있는 마누 인증서의 색인은 show cable privacy manufacturer-cert-list 명령을 사용하여 확인할 수 있습니다.

    CBR8-2#show cable privacy manufacturer-cert-list | i Index
    Index: 4
    Index: 5
    Index: 6
    Index: 7

    이 섹션의 예에서는 cBR-8 데이터베이스에 추가된 Manu 인증서에 대해 인덱스 값 11을 사용합니다.

    팁: 항상 실제 인증서 데이터 앞에 CertStatus 특성을 설정합니다. 그렇지 않으면 CMTS는 인증서가 체인으로 연결된 것으로 간주하고 즉시 제조업체 및 루트 인증서로 인증서를 확인하려고 시도합니다.

    일부 운영 체제에서는 인증서를 지정하는 16진수 데이터 문자열을 입력하는 데 필요한 만큼의 입력 줄을 받아들일 수 없습니다. 따라서 그래픽 SNMP 관리자를 사용하여 이러한 특성을 설정할 수 있습니다. 여러 인증서의 경우 스크립트 파일을 사용할 수 있습니다(편리한 경우).

    다음 예에서는 원격 디바이스가 SNMP를 사용하여 Manu 인증서 인증서를 cBR-8에 추가하는 방법을 보여 줍니다. 대부분의 인증서 데이터는 가독성을 위해 생략되며, 이는 elepses(...)로 표시됩니다. 

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

    cBR-8 CLI 명령을 사용하여 AuthInfo에서 만료된 Manu 인증서 추가 허용

    Manu 인증서는 일반적으로 CM에서 cBR-8로 전송된 BPI 프로토콜 AuthInfo 메시지에 따라 cBR-8 데이터베이스를 입력합니다. AuthInfo 메시지에서 수신된 각 고유하고 유효한 Manu 인증서가 데이터베이스에 추가됩니다. Manu Cert를 CMTS에 알 수 없고(데이터베이스에 없음) 유효 날짜가 만료된 경우 AuthInfo가 거부되고 Manu Cert가 cBR-8 데이터베이스에 추가되지 않습니다. cBR-8 케이블 인터페이스 컨피그레이션 아래에 케이블 프라이버시 retain-failed-certificates 해결 방법 컨피그레이션이 있는 경우 만료된 Manu 인증서를 AuthInfo 교환에서 CMTS에 추가할 수 있습니다. 이렇게 하면 만료된 Manu 인증서를 신뢰할 수 없는 것으로 cBR-8 데이터베이스에 추가할 수 있습니다. 만료된 Manu 인증서를 사용하려면 SNMP를 사용하여 신뢰된 것으로 표시해야 합니다. 만료된 Manu 인증서가 cBR-8에 추가되고 신뢰됨으로 표시되면 케이블 프라이버시 유지 실패 인증서 컨피그레이션을 제거하는 것이 좋습니다. 따라서 잠재적으로 원치 않는 추가 Manu 인증서가 시스템에 들어가지 않습니다.

    CBR8-1#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#int Cable6/0/0
    CBR8-1(config-if)#cable privacy retain-failed-certificates
    CBR8-1(config-if)#end

    cBR-8 CLI 명령을 사용하여 AuthInfo에서 만료된 CM Certs 및 Manu Certs 추가 허용

    만료된 CM 인증서는 케이블 프라이버시 retain-failed-certificates케이블 프라이버시 skip-validity-period 명령이 각 관련 케이블 인터페이스에서 모두 구성된 경우 AuthInfo 교환을 통해 CMTS에 추가될 수 있습니다. 이렇게 하면 cBR-8은 CM BPI AuthInfo 메시지에서 보낸 모든 CM 및 Manu 인증서에 대한 만료된 유효성 날짜 검사를 무시합니다. 만료된 CM 및 Manu 인증서가 cBR-8에 추가되고 신뢰됨으로 표시되면 설명된 구성을 제거하는 것이 좋습니다. 따라서 잠재적으로 원치 않는 추가 인증서는 시스템에 들어가지 않습니다.

    CBR8-1#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#interface Cable6/0/0
    CBR8-1(config-if)#cable privacy retain-failed-certificates
    CBR8-1(config-if)#cable privacy skip-validity-period
    CBR8-1(config-if)#end
    CBR8-1#copy run start

    추가 정보

    MAC 도메인/케이블 인터페이스 컨피그레이션 고려 사항

    케이블 프라이버시 retain-failed-certificates케이블 프라이버시 skip-validity-period 컨피그레이션 명령은 MAC 도메인/케이블 인터페이스 레벨에서 사용되며 제한적이지 않습니다. retain-failed-certificates 명령은 실패한 인증서를 cBR-8 데이터베이스에 추가할 수 있으며 skip-validity-period 명령은 모든 Manu 및 CM 인증서에 대한 유효성 날짜 검사를 건너뛸 수 있습니다.

    SNMP 패킷 크기 고려 사항

    Cert OctetString이 SNMP 패킷 크기보다 큰 경우 Cert 데이터에 대한 SNMP 가져오기는 NULL 값을 반환할 수 있습니다. 대형 인증서를 사용할 경우 cBR-8 SNMP 컨피그레이션을 사용할 수 있습니다.

    CBR8-1#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#snmp-server packetsize 3000
    CBR8-1(config)#end
    CBR8-1#copy run start

    Manu 인증서 디버그

    cBR-8의 Manu Cert debug는 debug cable privacy ca-cert 및 debug cable mac-address <CM mac-address> 명령에서 지원됩니다. 추가 디버그 정보는 지원 문서 모뎀 중단 상태 진단을 위한 DOCSIS 인증서를 디코딩하는 방법에 설명되어 있습니다. 여기에는 Manu 인증서의 16진수 값을 학습하는 데 사용되는 CA 인증서 덤프 단계가 포함됩니다.

    관련 지원 문서

    개정 이력

    개정 게시 날짜 의견
    2.0
    08-Dec-2021
    Cisco 버그 ID CSCvv21785에 대한 메모를 추가합니다. 사소한 형식 변경이 있습니다.
    1.0
    30-Nov-2021
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Cisco CX TAC
    • Cisco 케이블 사업부

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품