De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden opties beschreven om te voorkomen dat kabelmodems (CM) de service nadelig beïnvloeden (pk) op het cBR-8 kabelmodemafsluitsysteem (CMTS) als gevolg van het verlopen van het certificaat van de fabrikant (Manu Cert).
Er zijn verschillende oorzaken voor het vastlopen van een CM in de afwijzende (pk) staat op de cBR-8. Eén oorzaak is het aflopen van de Manu Cert. De Manu Cert wordt gebruikt voor authenticatie tussen een CM en CMTS. In dit document is een Manu Cert wat de DOCSIS 3.0 Security Specification CM-SP-SECv3.0 verwijst naar als CableLabs Mfg CA certificaat of Fabrikant CA certificaat. Verlopen betekent dat de cBR-8 systeemdatum/tijd de einddatum/tijd van de Manu Cert-geldigheid overschrijdt.
Een CM die probeert zich te registreren bij cBR-8 nadat de Manu Cert verloopt, wordt door de CMTS gemarkeerd als verwerping (pk) en is niet in gebruik. Een CM die al geregistreerd is bij de cBR-8 en in gebruik is wanneer de Manu Cert verloopt, kan in dienst blijven tot de volgende keer dat de CM probeert te registreren, wat kan gebeuren na een enkele CM offline gebeurtenis, cBR-8 Cable Linecard opnieuw opstarten, cBR-8 herladen, of andere gebeurtenis activeert CM registratie. Op dat moment ontbreekt de SCM authenticatie, wordt gemarkeerd verwerping (pk) door cBR-8, en is niet in gebruik.
De informatie in dit document breidt de inhoud uit en herformatteert deze die in de kabelmodems en de certificaten van de Verlopende Fabrikant in cBR-8 Productbulletin wordt gepubliceerd.
Opmerking: Cisco bug-id CSCv21785; In sommige versies van Cisco IOS XE, veroorzaakt dit bug een vertrouwde Manu Cert om bevestiging na een cBR-8 herladen te ontbreken. In sommige gevallen is de Manu Cert aanwezig, maar niet meer in de vertrouwde staat. In dat geval kan de vertrouwensstatus van Manu Cert worden gewijzigd in vertrouwensstatus met de stappen die in dit document worden beschreven. Als de Manu Cert niet aanwezig is in de uitvoer van de show kabel privacy fabrikant-cert-list opdracht, kan de Manu Cert opnieuw worden toegevoegd handmatig of door AuthInfo met stappen die in dit document worden beschreven.
Handmatige informatie kan worden bekeken via cBR-8 CLI-opdrachten of Simple Network Management Protocol (SNMP)-opdrachten vanaf een extern apparaat. De cBR-8 CLI ondersteunt ook SNMP-opdrachten zoals set, get en get-bulk. Deze opdrachten en informatie worden gebruikt door oplossingen die in dit document worden beschreven.
Manu Cert informatie kan worden bekeken met deze cBR-8 CLI opdrachten.
Deze opdrachten Cisco IOS® XE SNMP worden gebruikt van de cBR-8 CLI om SNMP-OID’s te verkrijgen en in te stellen.
Deze cBR-8 opdrachten voor kabelinterfaceconfiguratie worden gebruikt voor tijdelijke oplossing en herstel zoals beschreven in de sectie Oplossing van dit document.
Manu Cert informatie is gedefinieerd in de docsBpi2CmtsCACertEntry OID-tak 1.3.6.1.2.1.10.127.6.1.2.5.2.1, beschreven in de SNMP Object Navigator.
Relevante SNMP-OID’s
docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8
In opdrachtvoorbeelden geeft ellips (...) aan dat bepaalde informatie is weggelaten voor leesbaarheid.
CM firmware update is de beste oplossing op lange termijn. Workarounds die in dit document worden beschreven, staan CMs met verlopen Manu Certs toe om zich te registreren en online te blijven met de cBR-8, maar deze workarounds worden alleen aanbevolen voor korte termijn gebruik. Als een CM firmware-update geen optie is, is een CM-vervangingsstrategie een goede langetermijnoplossing vanuit het oogpunt van beveiliging en werking. De hier beschreven oplossingen hebben betrekking op verschillende omstandigheden of scenario's en kunnen afzonderlijk of, ten dele, in combinatie met elkaar worden gebruikt;
Opmerking: Als BPI wordt verwijderd, schakelt dit encryptie en authenticatie uit, wat de levensvatbaarheid ervan als tijdelijke oplossing minimaliseert.
In veel gevallen, CM fabrikanten leveren CM firmware updates die de geldigheid einddatum van de Manu Cert verlengen. Deze oplossing is de beste optie en voorkomt, wanneer uitgevoerd voordat een Manu Cert verloopt, gerelateerde gevolgen voor de service. CMs laden de nieuwe firmware en opnieuw registreren met nieuwe Manu Certs en CM Certs. De nieuwe certificaten kunnen op de juiste manier worden geauthenticeerd en de CM's kunnen zich met succes registreren bij cBR-8. De nieuwe Manu Cert en CM Cert kunnen een nieuwe certificaatketen maken terug naar het bekende Root Certificate dat al in cBR-8 is geïnstalleerd.
Wanneer een CM firmware update niet beschikbaar is vanwege een CM Fabrikant is gestopt met zaken, geen verdere ondersteuning voor een CM model, enzovoorts, kunnen Manu Certs die al bekend zijn op de cBR-8 met validatie einddata in de nabije toekomst proactief worden gemarkeerd vertrouwd in de cBR-8 voorafgaand aan de validiteit einddatum. De cBR-8 CLI-opdrachten en SNMP worden gebruikt om Manu Cert-informatie te identificeren, zoals serienummer en vertrouwensstatus, en SNMP wordt gebruikt om de Manu Cert-vertrouwensstatus in te stellen op vertrouwde functies in de cBR-8, die geassocieerde CM's in staat stelt te registreren en in bedrijf te blijven.
Bekende Manu Certs voor momenteel in-service en online CM's worden meestal geleerd door de cBR-8 van een CM via het DOCSIS Baseline Privacy Interface (BPI) protocol. Het AuthInfo-bericht dat van de CM naar de cBR-8 wordt gestuurd bevat de Manu Cert. Elke unieke Manu Cert wordt opgeslagen in cBR-8 geheugen en de informatie kan worden bekeken door cBR-8 CLI opdrachten en SNMP.
Als de Manu Cert wordt gemarkeerd als vertrouwd, dat doet twee belangrijke dingen. Ten eerste kan de cBR-8 BPI-software de verlopen geldigheidsdatum negeren. Ten tweede slaat het de Manu Cert op zoals vertrouwd in cBR-8 NVRAM. Hierdoor blijft de Manu Cert-status behouden bij een cBR-8 herlading en is het niet meer nodig deze procedure te herhalen bij een cBR-8 herlading.
De opdrachtvoorbeelden CLI en SNMP tonen aan hoe u een Manu Cert-index, serienummer en vertrouwensstatus kunt identificeren; dan gebruik die informatie om de vertrouwensstaat in vertrouwd te veranderen. De voorbeelden richten zich op de Manu Cert met indexnummer 4 en serienummer 437498F09A7DCBC1FA7A101FE976E40.
In dit voorbeeld de cBR-8 CLI opdracht tonen kabelprivacy fabrikant-cert-lijst wordt gebruikt.
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B
Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 701F760559283586AC9B0E2666562F0E
Thumbprint: E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982
In dit voorbeeld wordt de cBR-8 CLI opdracht snmp get-bulk gebruikt. Cert Indices 4 & 5 zijn de Manu Certs opgeslagen in het CMTS geheugen. De indexen 1, 2 en 3 zijn basiscertificaten. Root Certificaten zijn hier niet de zorg omdat hun verloopdatums veel langer zijn.
docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS
docsBpi2CmtsCACertSubject.3 = CableLabs
docsBpi2CmtsCACertSubject.4 = Motorola
docsBpi2CmtsCACertSubject.5 = CableLabs
docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.1 = 4
docsBpi2CmtsCACertTrust.2 = 4
docsBpi2CmtsCACertTrust.3 = 4
docsBpi2CmtsCACertTrust.4 = 3 (3 = chained)
docsBpi2CmtsCACertTrust.5 = 3
docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0
docsBpi2CmtsCACertSource.1 = 4
docsBpi2CmtsCACertSource.2 = 4
docsBpi2CmtsCACertSource.3 = 4
docsBpi2CmtsCACertSource.4 = 5 (5 = authentInfo)
docsBpi2CmtsCACertSource.5 = 5
docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0
docsBpi2CmtsCACertStatus.1 = 1
docsBpi2CmtsCACertStatus.2 = 1
docsBpi2CmtsCACertStatus.3 = 1
docsBpi2CmtsCACertStatus.4 = 1 (1 = active)
docsBpi2CmtsCACertStatus.5 = 1
De externe SNMP-voorbeelden in dit document gebruiken SNMP-opdrachten van een externe Ubuntu Linux-server. De specifieke SNMP-opdrachten en -formaten zijn afhankelijk van het apparaat en het besturingssysteem dat wordt gebruikt om de SNMP-opdrachten uit te voeren.
docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"
docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"
docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3 (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3
docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5 (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5
docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1 (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1
Gebruik de cBR-8 linecard CLI opdracht tonen crypto pki certificaten om de Manu Cert validiteit einddatum te identificeren. Deze opdrachtoutput bevat niet de Manu Cert Index. Het serienummer van het certificaat kan worden gebruikt om Manu Cert-informatie die uit deze opdracht is geleerd, te correleren met de Manu Cert-informatie die van SNMP is geleerd.
CBR8-1#request platform software console attach
request platform software console attach 6/0
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Device Certification Authority
ou=Device CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2049
Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23
CA Certificate
Status: Available
Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Motorola Corporation Cable Modem Root Certificate Authority
ou=ASG
ou=DOCSIS
l=San Diego
st=California
o=Motorola Corporation
c=US
Validity Date:
start date: 00:00:00 GMT Jul 11 2001
end date: 23:59:59 GMT Jul 10 2021
Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f
CA Certificate
Status: Available
Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2064
Associated Trustpoints: DOCSIS-D31-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
Certificate Usage: Signature
Issuer:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE Subject:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE
Validity Date:
start date: 00:00:00 GMT Sep 21 2001
end date: 23:59:59 GMT Sep 20 2031
Associated Trustpoints: DOCSIS-EU-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Validity Date:
start date: 00:00:00 GMT Feb 1 2001
end date: 23:59:59 GMT Jan 31 2031
Associated Trustpoints: DOCSIS-US-TRUSTPOINT
De voorbeelden tonen de vertrouwensstaat die van geketend in vertrouwd voor Manu Cert met Index = 4 en Serienummer = 437498f09a7dcbc1fa7aa101fe976e40 is veranderd
OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 waarden:
1: vertrouwd
2: onbetrouwbaar
3: geketend
4: wortel
Dit voorbeeld toont de cBR-8 CLI snmp-set opdracht die wordt gebruikt om de vertrouwensstatus te wijzigen
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2305483, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Dit voorbeeld laat zien dat een apparaat op afstand SNMP gebruikt om de vertrouwensstatus te wijzigen
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Dit voorbeeld toont de cBR-8 CLI-opdracht die wordt gebruikt om de wijzigingen te bevestigen
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...
Dit voorbeeld laat zien hoe een apparaat op afstand SNMP gebruikt om de wijzigingen te bevestigen
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1 (1 = snmp)
Een eerder bekend Manu Cert is een certificaat dat al in de cBR-8 database aanwezig is, meestal als gevolg van AuthInfo-berichten van eerdere CM-registratie. Als een Manu Cert niet gemarkeerd vertrouwd en verloopt, kan een CM die de verlopen Manu Cert gebruikt en offline gaat, niet opnieuw registreren en wordt gemarkeerd als verworpen (pk). In dit gedeelte wordt beschreven hoe u kunt herstellen van deze toestand en CM's met verlopen Manu Certs kunt registreren en in dienst kunt blijven.
Wanneer CM's niet online komen en als gevolg van verlopen Manu Certs worden gemarkeerd verworpen (pk), wordt er een syslog-bericht gegenereerd dat het CM MAC-adres en het verlopen Manu Cert serienummer bevat.
CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired
Dit voorbeeld toont de cBR-8 CLI SNMP-opdrachten die worden gebruikt om de index voor het serienummer van Manu Cert te identificeren vanuit het logbericht, dat vervolgens wordt gebruikt om de vertrouwensstatus van Manu Cert in te stellen op vertrouwde bronnen.
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2351849, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2353143, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Dit voorbeeld laat zien dat een extern apparaat SNMP-opdrachten gebruikt om de index voor het serienummer van Manu Cert te identificeren vanuit het logbericht, dat vervolgens wordt gebruikt om de vertrouwensstatus van Manu Cert in te stellen op vertrouwde functies.
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Wanneer een verlopen Manu Cert niet bekend is bij cBR-8 kan het niet worden beheerd (gemarkeerd vertrouwd) voor het verloopdatumverloop en kan het niet worden hersteld. Dit gebeurt wanneer een CM die voorheen onbekend was en niet op een cBR-8 was geregistreerd probeert te registreren met een onbekend en verlopen Manu Cert. De Manu Cert moet worden toegevoegd aan de cBR-8 door SNMP vanaf een extern apparaat of gebruik de kabelprivacy-gereserveerde-mislukte certificaten cBR-8 kabelinterfaceconfiguratie om het mogelijk te maken dat een verlopen Manu Cert wordt toegevoegd door AuthInfo. De cBR-8 CLI SNMP-opdrachten kunnen niet worden gebruikt om een certificaat toe te voegen omdat het aantal tekens in de certificaatgegevens de maximale door de CLI aanvaarde tekens overschrijdt. Als een zelf-ondertekend certificaat wordt toegevoegd, moet het bevel van het akkoord-zelf-ondertekend-certificaat van de kabelprivacy onder cBR-8 kabelinterface worden gevormd alvorens cBR-8 het certificaat kan goedkeuren.
Gebruik deze docsBpi2CmtsCACertTable OID-waarden om de Manu Cert als een nieuwe tabelingang toe te voegen. De hexadecimale waarde van de Manu Cert die door de docsBpi2CmtsCACert OID wordt bepaald kan met de stappen van de de certificaatstortplaats van CA worden geleerd die in het steunartikel worden beschreven Hoe te om DOCSIS- Certificaat voor de Diagnose van de Modem te decoderen Stuck.
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)
Gebruik een uniek indexnummer voor de toegevoegde Manu Cert. De indexen van Manu Certs die reeds op cBR-8 aanwezig zijn kunnen worden gecontroleerd met de show kabel privacy fabrikant-cert-list opdracht.
CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7
De voorbeelden in deze sectie gebruiken een indexwaarde van 11 voor de Manu Cert toegevoegd aan de cBR-8 database.
Tip: Stel altijd de CertStatus-kenmerken in vóór de feitelijke certificaatgegevens. Anders gaat de CMTS ervan uit dat het certificaat geketend is en probeert het onmiddellijk te verifiëren bij de fabrikanten en basiscertificaten.
Sommige besturingssystemen kunnen geen invoerlijnen accepteren die zo lang zijn als nodig is om de hexadecimale gegevensstring in te voeren die een certificaat specificeert. Om deze reden kan een grafische SNMP-beheerder worden gebruikt om deze eigenschappen in te stellen. Voor een aantal certificaten kan, als dit gemakkelijker is, een scriptbestand worden gebruikt.
Dit voorbeeld laat zien hoe een apparaat op afstand SNMP gebruikt om een Manu Cert certificaat toe te voegen aan cBR-8. De meeste certificaatgegevens zijn verplicht om leesbaar te zijn, aangegeven door elipses (...).
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1
Een Manu Cert voert de cBR-8 database meestal in met behulp van het BPI Protocol AuthInfo bericht dat vanuit de CM naar cBR-8 wordt gestuurd. Elke unieke en geldige Manu Cert ontvangen in een AuthInfo bericht wordt toegevoegd aan de database. Als de Manu Cert onbekend is bij de CMTS (niet in de database) en de geldigheidsduur is verlopen, wordt AuthInfo geweigerd en wordt de Manu Cert niet toegevoegd aan de cBR-8 database. Een verlopen Manu Cert kan aan de CMTS worden toegevoegd door de AuthInfo-uitwisseling wanneer de tijdelijke configuratie van de kabelprivacy-behoud-mislukte certificaten aanwezig is onder de cBR-8 kabelinterfaceconfiguratie. Dit maakt het mogelijk om de verlopen Manu Cert toe te voegen aan de cBR-8 database als onbetrouwbaar. Om de verlopen Manu Cert te gebruiken, moet SNMP worden gebruikt om te markeren het vertrouwd. Wanneer de verlopen Manu Cert is toegevoegd aan de cBR-8 en gemarkeerd vertrouwd, wordt verwijdering van de kabelprivacy-behoud-mislukte-certificaten configuratie aanbevolen, zodat extra, potentieel ongewenste, Manu Certs niet het systeem invoeren.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end
Een verlopen CM-certificaat kan aan de CMTS worden toegevoegd door de AuthInfo-uitwisseling wanneer zowel de reservestoringen van de kabelprivacy en de skip-validiteitsperiodes van de kabelprivacy onder elke relevante kabelinterface zijn geconfigureerd. Dit zorgt ervoor dat de cBR-8 vervaldatumcontroles negeert voor ALL CM en Manu Certs verzonden in het CM BPI AuthInfo bericht. Wanneer de verlopen CM en Manu Certs worden toegevoegd aan de cBR-8 en gemarkeerd vertrouwd, wordt verwijdering van de beschreven configuratie aanbevolen, zodat extra, potentieel ongewenste, Certs niet het systeem invoeren.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start
De configuratieopdrachten voor de behoud-mislukte-certificaten en de skip-validiteitsperiode voor de kabelprivacy worden gebruikt op het niveau van het MAC-domein/de kabelinterface en zijn niet beperkend. De opdracht behouden-mislukte certificaten kan elk mislukt certificaat toevoegen aan de cBR-8 database en de opdracht geldigheid-periode overslaan kan geldigheidsdatumcontroles overslaan op alle Manu en CM certs.
Een SNMP krijg voor Cert gegevens kan een NULL waarde teruggeven als de Cert OctetString groter is dan de SNMP pakketgrootte. Een cBR-8 SNMP-configuratie kan worden gebruikt wanneer grote certificaten worden gebruikt.
CBR8-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start
Manu Cert debug op cBR-8 wordt ondersteund met de opdrachten debug Cable Privacy Card en debug Cable Mac-Address <CM mac-address>. Aanvullende debug-informatie wordt uitgelegd in het ondersteuningsartikel How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis. Dit omvat CA Certificate Dump stappen die gebruikt worden om de hexadecimale waarde van een Manu Cert te leren.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
08-Dec-2021
|
Opmerking toevoegen voor Cisco bug-id CSCv21785. kleine wijzigingen in indeling. |
1.0 |
30-Nov-2021
|
Eerste vrijgave |