Inleiding
Dit document beschrijft het proces voor het vernieuwen van het Umbrella-rootcertificaat wanneer tokengebaseerde registratie wordt gebruikt voor Cisco IOS® XE SD-WAN-apparaten.
Voorwaarde
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van Public Key Infrastructure (PKI).
- Kennis van Cisco SD-WAN technologie
Deze workflow kan alleen worden gebruikt als u een op tokens gebaseerde paraplu-registratie gebruikt. In het geval dat u API-gebaseerde registratie gebruikt, moeten de stappen die worden vermeld in Field Notice FN74166 worden gevolgd om het rootcertificaat te installeren.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- C8000V versie 17.6.6
- vManage versie 20.6.6
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrond
Umbrella vernieuwde het certificaat voor FQDN api.opendns.com vanaf 29 mei 2024 en het certificaat werd ondertekend door een nieuwe root-ca DigiCert Global Root G2. Als het Edge-apparaat deze root-ca niet in de PKI-certificatenlijst heeft en als het op tokens gebaseerde Umbrella Registration gebruikt, zal de Umbrella-registratie mislukken. In de werkstroom in dit document wordt beschreven hoe u de root-ca op de Edge-router installeert.
Stappen om uit te voeren
Controleer of het Edge-apparaat een op tokens gebaseerde Umbrella-registratie heeft. Zo zou de configuratie eruit zien.
parameter-map type umbrella global
token 83F1YHF457592596A3D8CF52YHDFSDRD
Andere configuratie die vereist is voor het Edge-apparaatregistratieproces om het rootcertificaat te starten en te installeren.
parameter-map type umbrella global
vrf 10
dns-resolver umbrella >>>>required
ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload
interface GigabitEthernet0/0/0
ip dhcp client client-id ascii FGL233913F6
ip address 10.122.164.132 255.255.255.128
ip nat outside >>>>>
negotiation auto
end
Controleer op het Edge-apparaat of het rootcertificaat trustidrootx3_ca_092024.ca bestaat op locatie /bootflash.
cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca
Download dit rootcertificaat "DigiCert Global Root G2" op het Edge-apparaat op locatie /bootflash/sdwan met de naam trustidrootx3_ca_092024.ca.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Verplaats het oude root-certificaat onder /bootflash:trustidrootx3_ca_092024.ca naar /bootflash/sdwan door het te hernoemen naar trustidrootx3_ca_092024.ca.bkp.
copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp
Verwijder het rootcertificaat trustidrootx3_ca_092024.ca van /bootflash.
cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca
Verplaats het nieuwe rootcertificaat trustidrootx3_ca_092024.ca onder /bootflash/sdwan naar /bootflash.
copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:
Het Edge-apparaat opnieuw laden.
Opmerking: dit proces moet worden gevolgd als u een op tokens gebaseerde paraplu-registratie hebt. In het geval dat API-gebaseerde registratie wordt gebruikt, moet het proces in de veldmelding waarnaar in dit document wordt verwezen, worden gevolgd.
Probleemoplossing
Deze foutopsporing kan worden ingeschakeld op het Edge-apparaat om te zien of het nieuwe rootcertificaat wordt geïnstalleerd.
cedge-ISR1100-4G#debug umbrella device-registration
Als u de logs wilt zien, kunt u logboekregistratie weergeven of het bestand IOSRP_R0 controleren onder /tmp/rp/trace. Je ziet deze logs.
succes
2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info): *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully
mislukking
2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn): *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed
Verificatie
Als u wilt controleren of het certificaat met succes is geïnstalleerd op het Edge-apparaat, kunt u deze opdrachten gebruiken.
cedge-ISR1100-4G#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate Usage: Signature
Issuer:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Subject:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Validity Date:
start date: 12:00:00 UTC Aug 1 2013
end date: 12:00:00 UTC Jan 15 2038
Associated Trustpoints: trustidrootx3_ca_092024
Storage: nvram:DigiCertGlob#FAE5CA.cer
cedge-ISR1100-4G#show crypto pki trustpoints
Trustpoint SLA-TrustPoint:
Subject Name:
cn=Cisco Licensing Root CA
o=Cisco
Serial Number (hex): 01
Certificate configured.
Trustpoint trustidrootx3_ca_092024:
Subject Name:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate configured.
Gerelateerde informatie