Verlopen fabrikantcertificaten voor workaround en herstel op uBR10K

Inleiding

In dit document worden opties beschreven voor het voorkomen, oplossen en herstellen van de gevolgen van de kabelmodem (CM)-weigering (pk) voor het uBR10K-systeem voor de beëindiging van de kabelmodem (CMTS) die het gevolg zijn van de vervaldatum van het certificaat van de fabrikant (Manu Cert).

Probleem

Er zijn verschillende oorzaken voor een CM vast komen te zitten in de reject (pk) staat op de uBR10K. Een van de oorzaken is het vervallen van de Manu Cert. De Manu Cert wordt gebruikt voor authenticatie tussen een CM en CMTS. In dit document is een Manu Cert wat de DOCSIS 3.0-beveiligingsspecificatie CM-SP-SECv3.0 aanduidt als CableLabs Mfg CA-certificaat of Fabrikant CA-certificaat. Verlopen betekent dat de einddatum/tijd van het uBR10K-systeem de einddatum/tijd van de geldigheid van het Manu Cert overschrijdt.

Een CM die probeert zich te registreren bij de uBR10K nadat de Manu Cert verloopt, wordt door de CMTS gemarkeerd als reject (pk) en is niet in gebruik. Een CM die al is geregistreerd bij de uBR10K en in gebruik is wanneer de Manu Cert verloopt, kan in gebruik blijven tot de volgende keer dat de CM probeert te registreren, wat kan gebeuren na een enkele offline modemgebeurtenis, uBR10K Cable Linecard opnieuw opstarten, uBR10K opnieuw laden of andere gebeurtenissen die modemregistratie activeren. Op dat moment mislukt de verificatie van de CM, wordt deze gemarkeerd als reject (pk) door de uBR10K en is deze niet in gebruik.

DOCSIS 1.1 voor de Cisco CMTS Routers biedt aanvullende informatie over uBR10K-ondersteuning en configuratie van de DOCSIS Baseline Privacy Interface (BPI+).

Manu Cert-informatie

Manu Cert-informatie kan worden bekeken via uBR10K CLI-opdrachten of Simple Network Management Protocol (SNMP). Deze opdrachten en informatie worden gebruikt door oplossingen die in dit document worden beschreven.

Informatievelden en kenmerken van Manu Cert

• Index: Een uniek geheel getal dat is toegewezen aan elke Manu Cert in de uBR10K-database/MIB

• Betreft: De naam van het onderwerp zoals deze in het X509-certificaat is gecodeerd
  
  • cn: CommonName
  • OU: Organisatorische eenheid
  • o: Organisatie
  • l: Lokaliteit
  • s: StateOrProvinceName
  • c: Naam land
• Uitgever: de certificaatautoriteit
• Serieel: cert Serienummer weergegeven in een hexadecimale octettekenreeks
• Staat: De vertrouwensstatus van het certificaat
  
  • vertrouwd
  • onbetrouwbaar
  • vastgeketend
  • wortel
• Bron: Hoe het certificaat de CMTS bereikte
  
  • snmp
  • configuratiebestand
  • externe database
  • Other (Overig)
  • authentInfo
  • gecompileerde InfoCode
• Status/rijStatus: cert-status
  
  • active
  • nietInService
  • notReady
  • CreateAndGo
  • maken en wachten
  • vernietigen
• Cert: Het certificaat van de certificaatautoriteit met X509 DER-codering
• Geldigheidsdatum: de begin- en einddatum die de geldigheidsperiode van het Manu Cert definiëren ten opzichte van de datum en tijd van het CMTS-systeem
  
  • startdatum: de datum en het tijdstip waarop het Manu Cert geldig wordt
  • Einddatum: De datum en het tijdstip waarop het Manu Cert niet meer geldig is
• Cert: Het certificaat van de certificaatautoriteit met X509 DER-codering
• Thumbprint: de SHA-1 hash van een CA-certificaat

uBR10K CLI-opdrachten

De uitvoer van deze opdracht bevat enkele Manu Cert-informatie. De Manu Cert-index kan alleen worden verkregen door SNMP

• Vanuit uBR10K CLI exec-modus of Linecard CLI exec-modus: uBR10K#show cable privacy fabrikant-cert-list
• Vanuit uBR10K Linecard CLI exec-modus: Slot-6-0#crypto pki-certificaten weergeven

Deze configuratieopdrachten voor de kabelinterface worden gebruikt voor tijdelijke oplossingen en herstel

• uBR10K(config-if)#kabelprivacy behouden-mislukt-certificaten

• uBR10K(config-if)#privacy via de kabel-skip-validiteitsperiode

DOCSIS-BPI-PLUS-MIB OID's

Manu Cert-informatie is gedefinieerd in de docsBpi2CmtCACertEntry OID-tak 1.3.6.1.2.1.10.127.6.1.2.5.2.1, beschreven in de SNMP Object Navigator.

Opmerking: In uBR10k-software is de RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIB geïmplementeerd met de onjuiste OID MIB-tak/pad. Het uBR10k-platform is aan het einde van de verkoop en voorbij de datum van de softwareondersteuning, dus er is geen oplossing voor dit softwarefout. In plaats van het verwachte MIB-pad/vertakking 1.3.6.1.2.10.127.6 het MIB-pad/tak 1.3.6.1.2.1.9999 moet worden gebruikt voor SNMP-interacties met de BPI2 MIB/OID's op de uBR10k.
Gerelateerde Cisco bug ID CSCum28486

Dit zijn de BPI2 MIB OID full path equivalenten voor Manu Cert informatie over de uBR10k zoals vermeld in Cisco bug ID CSCum28486:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
  docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
  docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
  docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
  docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
  docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
  docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
  docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
  docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
  docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8

Opdrachtvoorbeelden in dit document gebruiken ellipsis (...) om aan te geven dat bepaalde informatie is weggelaten voor leesbaarheid.

Oplossing

CM firmware update is de beste oplossing voor de lange termijn. Workarounds waarmee CM's met verlopen Manu Certs zich kunnen registreren en online kunnen blijven bij de uBR10K worden in dit document beschreven, maar deze workarounds worden alleen aanbevolen voor kortdurend gebruik. Als een CM-firmware-update geen optie is, is een CM-vervangingsstrategie een goede langetermijnoplossing vanuit het oogpunt van beveiliging en bewerkingen. De hier beschreven oplossingen hebben betrekking op verschillende omstandigheden of scenario's en kunnen afzonderlijk of, in sommige gevallen, in combinatie met elkaar worden gebruikt;

• CM-firmware bijwerken
• Stel een bekende Manu Cert in op Vertrouwd
• CM-service herstellen nadat een bekend Manu Cert is verlopen
• Installeer een onbekend verlopen handboek op de uBR10k en Mark Trusted
• Verlopen CM Certs en Manu Certs toestaan om te worden toegevoegd door AuthInfo met een uBR10K CLI-opdracht

Opmerking: Als BPI wordt verwijderd, schakelt dit codering en verificatie uit, waardoor de levensvatbaarheid van dat als een tijdelijke oplossing wordt geminimaliseerd.

CM-firmware bijwerken

In veel gevallen bieden CM-fabrikanten CM-firmware-updates die de einddatum van de geldigheid van de Manu Cert verlengen. Deze oplossing is de beste optie en voorkomt, wanneer deze wordt uitgevoerd voordat een Manu Cert verloopt, gerelateerde gevolgen voor de service. CM's laden de nieuwe firmware en registreren zich opnieuw bij de nieuwe Manu Certs en CM Certs. De nieuwe certificaten kunnen correct worden geverifieerd en de CM's kunnen zich met succes registreren bij de uBR10K. De nieuwe Manu Cert en CM Cert kunnen een nieuwe certificaatketen maken die teruggaat naar het bekende basiscertificaat dat al in de uBR10K is geïnstalleerd.

Stel een bekende Manu Cert in op Vertrouwd

Wanneer een CM-firmware-update niet beschikbaar is omdat een CM-fabrikant failliet is gegaan, kan geen verdere ondersteuning voor een CM-model, enz., Manu Certs die al bekend zijn op de uBR10k met einddatums voor de geldigheid in de nabije toekomst, proactief worden gemarkeerd als vertrouwd in de uBR10k voorafgaand aan de vervaldatum. Het serienummer van de Manu Cert, de einddatum van de geldigheid en de status zijn te vinden met uBR10K CLI-opdrachten. Het Manu Cert serienummer, Trust State en index zijn te vinden bij SNMP.

Bekende Manu Certs voor momenteel in-service en online modems worden meestal geleerd door de uBR10K van een CM via de DOCSIS Baseline Privacy Interface (BPI) protocol. Het AUTH-INFO-bericht dat van de CM naar de uBR10K wordt verzonden, bevat de Manu Cert. Elke unieke Manu Cert wordt opgeslagen in uBR10K-geheugen en de informatie ervan kan worden bekeken met uBR10K CLI-opdrachten en SNMP.

Wanneer de Manu Cert is gemarkeerd als vertrouwd, doet dat twee belangrijke dingen. Ten eerste kan de uBR10K BPI-software de verlopen geldigheidsdatum negeren. Ten tweede slaat het de Manu Cert op als vertrouwd in de uBR10K NVRAM. Hierdoor blijft de status Manu Cert behouden bij een uBR10K-herlading en is het niet meer nodig deze procedure te herhalen in het geval van een uBR10K-herlading

De CLI- en SNMP-opdrachtvoorbeelden laten zien hoe u een Manu Cert-index, serienummer, vertrouwensstatus kunt identificeren en vervolgens die informatie kunt gebruiken om de vertrouwensstatus te wijzigen in vertrouwd. De voorbeelden richten zich op een Manu Cert met Index 5 en Serienummer 45529C2654797E1623C6E723180A9E9C.

Bekijk de vele geheime informatie van de uBR10K CLI

In dit voorbeeld tonen de uBR10K CLI-opdrachten crypto pki-certificaten en tonen ze dat de fabrikant van kabelprivacy cert-lijst wordt gebruikt om de bekende Manu Cert-informatie te bekijken.

UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open

clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
  Certificate Usage: Not Set
  Issuer:
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
  Subject:
    cn=Arris Cable Modem Root Certificate Authority
    ou=Suwanee\
     Georgia
    ou=DOCSIS
    o=Arris Interactive\
     L.L.C.
    c=US
  Validity Date:
    start date: 20:00:00 EDT Sep 11 2001
    end   date: 19:59:59 EDT Sep 11 2021
  Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit

[Connection to 127.0.0.81 closed by foreign host]

uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained  <-- Cert Trust State is Chained
Source: Auth Info    <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C  <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

De handmatige geheime informatie met SNMP bekijken vanaf een extern apparaat

Relevante uBR10K SNMP OID's:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6

In dit voorbeeld wordt de opdracht snmpwalk gebruikt om informatie te bekijken in de uBR10k Manu Cert Table. Het bekende Manu Cert serienummer kan worden gecorreleerd aan de Manu Cert Index, die kan worden gebruikt om de vertrouwensstatus in te stellen. Specifieke SNMP-opdrachten en -formaten zijn afhankelijk van het apparaat en het besturingssysteem dat wordt gebruikt om de opdracht/het verzoek voor SNMP uit te voeren. 

Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)

Stel de verstreken bekende Manu Cert-vertrouwensstatus in op Vertrouwd met SNMP

Waarden voor OID: docsBpi2CMTSCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (OID op uBR10k is 1.3.6.1.2.1.9999.1.2.5.2.1.5)

1: vertrouwd
2: niet vertrouwd
3: geketend
4: wortel

Het voorbeeld toont de vertrouwensstatus gewijzigd van geketend naar vertrouwd voor de Manu Cert met Index = 5 en Serienummer = 45529C2654797E1623C6E723180A9E9C.

Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1

Bevestig dat de handleiding is gewijzigd met de uBR10K CLI of met SNMP

• De vertrouwenswaarde veranderde van geketend naar "Vertrouwd"
• De bronwaarde is gewijzigd in "SNMP", wat aangeeft dat het certificaat voor het laatst is beheerd door SNMP en niet van het BPI-protocol AuthInfo-bericht

Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)


uBR10K-01#show cable privacy manufacturer-cert-list 
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

CM-service herstellen nadat een bekend Manu Cert is verlopen

Een eerder bekend Manu Cert is een certificaat dat al aanwezig is in de uBR10K-database, meestal als gevolg van AuthInfo-berichten uit eerdere CM-registratie. Als een Manu Cert niet is gemarkeerd als vertrouwd en het certificaat verloopt, kunnen alle CM's die de verlopen Manu Cert gebruiken vervolgens offline gaan en proberen te registreren, maar de uBR10K markeert ze weigeren (pk) en ze zijn niet in dienst. In dit gedeelte wordt beschreven hoe u van deze aandoening kunt herstellen en hoe u CM's met verlopen Manu Certs kunt registreren en in dienst kunt blijven.

Identificeer het verlopen bekende Manu Cert serienummer

De Manu Cert-informatie voor een CM die vastzit in reject (pk) kan worden gecontroleerd met de uBR10K CLI-opdracht kabelmodem <CM MAC-adres> privacy tonen.

show cable modem 1234.5678.9abc privacy verbose

MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information

Identificeer de index voor de verlopen bekende Manu Cert en stel de Manu Cert Trust State in op Vertrouwd

Gebruik dezelfde uBR10K CLI- en SNMP-opdrachten als beschreven in de vorige sectie om de index voor de Manu Cert te identificeren op basis van het Manu Cert-serienummer.  Gebruik het verlopen Manu Cert-indexnummer om de vertrouwensstatus Manu Cert in te stellen op vertrouwd met SNMP.

jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)

Installeer een onbekend verlopen handboek op de uBR10K en Mark Trusted

In het geval dat een verlopen Manu Cert niet bekend is bij de uBR10K, zodat het niet kan worden beheerd (gemarkeerd als vertrouwd) voorafgaand aan de vervaldatum en niet kan worden hersteld, moet de Manu Cert worden toegevoegd aan de uBR10K en worden gemarkeerd als vertrouwd. Deze aandoening treedt op wanneer een CM die voorheen onbekend is en niet geregistreerd is op een uBR10K, probeert te registreren bij een onbekende en verlopen Manu Cert.

De Manu Cert kan aan de uBR10K worden toegevoegd door SNMP Set of door de configuratie voor certificaten met behoud van de privacy van de kabel, mislukt.

Voeg een verlopen onbekende handleiding toe aan de uBR10K met SNMP

Voeg een vermelding toe aan de tabel docsBpi2CMTSCACertTable om een certificaat van de fabrikant toe te voegen. Geef deze kenmerken voor elk item op.

• docsBpi2CmtCACertStatus 1.3.6.1.2.1.9999.1.2.5.2.1.7 (Ingesteld op 4 om de rij-invoer te maken)
• docsBpi2CMTSCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8 (De hexadecimale gegevens, als X509-certificaatwaarde, voor het eigenlijke X.509-certificaat)
• docsBpi2CMTSCACertTrust 1.3.6.1.2.1.9999.1.2.5.2.1.5 (ingesteld op 1 om de status Manu Cert Trust in te stellen op trusted)

De meeste besturingssystemen kunnen geen invoerlijnen accepteren die zo lang zijn als nodig is om de hexadecimale tekenreeks in te voeren die een certificaat opgeeft. Om deze reden wordt een grafische SNMP-beheerder aanbevolen om deze kenmerken in te stellen. Voor een aantal certificaten kan een scriptbestand worden gebruikt, als dat gemakkelijker is.

De opdracht SNMP en de resultaten in het voorbeeld voegen een ASCII DER Encoded ASN.1 X.509-certificaat toe aan de uBR10K-database met parameters:

Index = 11
Status = createAndGo (4)
Trust state =  trusted (1)

Gebruik een uniek indexnummer voor de toegevoegde Manu Cert. Wanneer een verlopen Manu Cert wordt toegevoegd, wordt de status niet vertrouwd, tenzij deze handmatig is ingesteld op vertrouwd. Als een zelf ondertekend certificaat wordt toegevoegd, moet de opdracht privacy-accept self-signed-certificate van de kabel worden geconfigureerd onder de uBR10K-kabelinterfaceconfiguratie voordat de uBR10K het certificaat kan accepteren. 

In dit voorbeeld wordt een deel van de certificaatinhoud weggelaten voor leesbaarheid, aangegeven door ellipsis (...). 

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01 
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53 
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c 
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 = 
30 82  04 00   30 82  02 e8    a0 03  02 01   02 02  10 43    
74 98  f0 9a   7d cb  c1 fa    7a a1  01 fe   97 6e  40 30    
...    
f9 3b  59 5e   e2 05  0e 89    e5 9d  2a 40   c2 9b  4f 21     
1f 1b  b7 2c   13 19  3d 56    ab 4b  09 a9   1e 62  5c ee     
c0 d2  ba 2d    
docsBpi2CmtsCACertTrust.11 = trusted(1)

Een verlopen handtekeningcertificaat toevoegen tijdens CM-registratie in de CLI

Een Manu Cert komt meestal in de uBR10K-database door het BPI Protocol AuthInfo-bericht dat vanuit de CM naar de uBR10K wordt verzonden. Elk uniek en geldig Manu Cert ontvangen in een AuthInfo bericht wordt toegevoegd aan de database. Als de Manu Cert onbekend is bij de CMTS (niet in de database) en verlopen geldigheidsdata heeft, wordt AuthInfo afgewezen en wordt de Manu Cert niet toegevoegd aan de uBR10K database. Een ongeldige Manu Cert kan worden toegevoegd aan de uBR10K door AuthInfo wanneer de workaround-configuratie voor kabelprivacy behouden-mislukte certificaten aanwezig is onder de uBR10K-kabelinterface. Hierdoor kan de vervallen Manu Cert als onvertrouwd aan de uBR10K-database worden toegevoegd. Om de verlopen Manu Cert te kunnen gebruiken, moet SNMP worden gebruikt om het te markeren als vertrouwd.

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end

Wanneer de verlopen Manu Cert wordt toegevoegd aan de uBR10K en gemarkeerd als vertrouwelijk, wordt verwijdering van de configuratie van de kabelprivacy behouden-mislukte certificaten aanbevolen om toevoeging van andere onbekende verlopen Manu Certs op de uBR10K te voorkomen.

Verlopen CM Certs en Manu Certs toestaan om te worden toegevoegd door AuthInfo met een uBR10K CLI-opdracht

In sommige gevallen vervalt het CM-certificaat. Voor deze situatie is naast de configuratie van kabelprivacy-keep-failed-certificates een andere configuratie nodig op de uBR10K. Voeg onder elk relevant uBR10K MAC-domein (kabelinterface) de configuratie voor de bekabelde privacy-skip-validiteitsperiode toe en sla de configuratie op. Dit zorgt ervoor dat de uBR10K verlopen geldigheidscontroles negeert voor ALLE CM en Manu Certs verzonden in het CM BPI AuthInfo-bericht.  

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start

Aanvullende informatie

Overweging MAC-domein/kabelinterface

De configuratieopdrachten voor kabelprivacy-keep-failed-certificates en kabelprivacy-skip-validity-period worden gebruikt op het niveau MAC Domain / Cable Interface en zijn niet beperkend. Met de opdracht certificaten behouden-mislukt-kunt u elk mislukt certificaat toevoegen aan de uBR10K-database en de opdracht Geldigheidsduur overslaan. De opdracht Geldigheidsdatum controleren op alle Manu- en CM-certificaten.

Overweging SNMP-pakketgrootte

Een extra uBR10K SNMP-configuratie kan nodig zijn wanneer grote certificaten worden gebruikt. SNMP Get of Cert-gegevens kunnen NULL zijn als de cert OctetString groter is dan de SNMP-pakketgrootte.  Voorbeeld;

uBR10K#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end

Manu Cert Debug

Manu Cert debug op de uBR10K wordt ondersteund met de debug kabel privacy ca-cert en debug kabel mac-adres <cm mac-adres> opdrachten.  Aanvullende foutopsporingsinformatie wordt uitgelegd in het ondersteuningsartikel Hoe DOCSIS-certificaat te decoderen voor Modem Stuck State Diagnosis.

Gerelateerde ondersteuningsdocumentatie

• Kabelmodems en verlopen fabrikantcertificaten op cBR-8 productbulletin - Cisco
• Cisco uBR10000-reeks Universele breedbandrouters
• Technische ondersteuning en documentatie – Cisco Systems