Verlopen fabriekscertificaten voor tijdelijke oplossing en herstel op cBR-8

Inleiding

In dit document worden opties beschreven om te voorkomen dat kabelmodems (CM) de service nadelig beïnvloeden (pk) op het cBR-8 kabelmodemafsluitsysteem (CMTS) als gevolg van het verlopen van het certificaat van de fabrikant (Manu Cert).

Probleem

Er zijn verschillende oorzaken voor het vastlopen van een CM in de afwijzende (pk) staat op de cBR-8. Eén oorzaak is het aflopen van de Manu Cert. De Manu Cert wordt gebruikt voor authenticatie tussen een CM en CMTS. In dit document is een Manu Cert wat de DOCSIS 3.0 Security Specification CM-SP-SECv3.0 verwijst naar als CableLabs Mfg CA certificaat of Fabrikant CA certificaat. Verlopen betekent dat de cBR-8 systeemdatum/tijd de einddatum/tijd van de Manu Cert-geldigheid overschrijdt.

Een CM die probeert zich te registreren bij cBR-8 nadat de Manu Cert verloopt, wordt door de CMTS gemarkeerd als verwerping (pk) en is niet in gebruik. Een CM die al geregistreerd is bij de cBR-8 en in gebruik is wanneer de Manu Cert verloopt, kan in dienst blijven tot de volgende keer dat de CM probeert te registreren, wat kan gebeuren na een enkele CM offline gebeurtenis, cBR-8 Cable Linecard opnieuw opstarten, cBR-8 herladen, of andere gebeurtenis activeert CM registratie. Op dat moment ontbreekt de SCM authenticatie, wordt gemarkeerd verwerping (pk) door cBR-8, en is niet in gebruik.

De informatie in dit document breidt de inhoud uit en herformatteert deze die in de kabelmodems en de certificaten van de Verlopende Fabrikant in cBR-8 Productbulletin wordt gepubliceerd.

Opmerking: Cisco bug-id CSCv21785; In sommige versies van Cisco IOS XE, veroorzaakt dit bug een vertrouwde Manu Cert om bevestiging na een cBR-8 herladen te ontbreken. In sommige gevallen is de Manu Cert aanwezig, maar niet meer in de vertrouwde staat. In dat geval kan de vertrouwensstatus van Manu Cert worden gewijzigd in vertrouwensstatus met de stappen die in dit document worden beschreven. Als de Manu Cert niet aanwezig is in de uitvoer van de show kabel privacy fabrikant-cert-list opdracht, kan de Manu Cert opnieuw worden toegevoegd handmatig of door AuthInfo met stappen die in dit document worden beschreven.

Manu Cert Informatie

Handmatige informatie kan worden bekeken via cBR-8 CLI-opdrachten of Simple Network Management Protocol (SNMP)-opdrachten vanaf een extern apparaat. De cBR-8 CLI ondersteunt ook SNMP-opdrachten zoals set, get en get-bulk. Deze opdrachten en informatie worden gebruikt door oplossingen die in dit document worden beschreven.

Informatievelden en kenmerken beheren

• Index: Een uniek geheel dat aan elke Manu Cert in de cBR-8 database/MIB wordt toegewezen
• Onderwerp:  De onderwerpnaam precies zoals deze wordt gecodeerd in het X509-certificaat
  
  • nvt: Benaming
  • U: Organisatorische eenheid
  • o: Organisatie
  • l: Plaats
  • s: ProvincieNaam
  • c: Landnaam
• Emittent: De certificeringsinstantie
• Seriële poort: Cert serienummer weergegeven in een hexadecimale octetreeks
• Toestand: De vertrouwensstatus van het certificaat
  
  • vertrouwd
  • onbetrouwbaar
  • geketend
  • wortel
• Bron: Hoe het certificaat de CMTS bereikte
  
  • snmp
  • configuratiebestand
  • externe database
  • Other (Overig)
  • auteursinformatie
  • gecompileerde infoCode
• Status/RijStatus: Waarschuwingsstatus
  
  • active
  • niet in bedrijf
  • niet gereed
  • aanmakenEnGa
  • maken en wachten
  • vernielen

• Let op: Het X509 DER-gecodeerde certificaat van de autoriteit
• Geldigheidsdatum: De begin- en einddatums die de geldigheidsperiode van Manu Cert definiëren ten opzichte van de CMTS-systeemdatum en -tijd
  
  • begindatum: De datum en het tijdstip waarop de Manu Cert geldig wordt
  • einddatum: De datum en het tijdstip waarop de Manu Cert niet langer geldig is
• Let op: Het X509 DER-gecodeerde certificaat van de autoriteit
• Thumbprint: De SHA-1-hash van een CA-certificaat

cBR-8 CLI-opdrachten

Manu Cert informatie kan worden bekeken met deze cBR-8 CLI opdrachten.

• Van cBR-8 CLI exec-modus of Linecard CLI exec-modus: CBR8-1#toon kabelprivacy fabrikant-cert-lijst
• Van cBR-8 Linecard CLI exec-modus: Slot-6-0#show crypto PKI-certificaten

Deze opdrachten Cisco IOS® XE SNMP worden gebruikt van de cBR-8 CLI om SNMP-OID’s te verkrijgen en in te stellen.

• snmp get
• SNMP get-bulk
• SNMP-set

Deze cBR-8 opdrachten voor kabelinterfaceconfiguratie worden gebruikt voor tijdelijke oplossing en herstel zoals beschreven in de sectie Oplossing van dit document.

• Behoud van kabelprivacy-mislukte certificaten
• skip-validatieperiode van kabelprivacy

DOCSIS-BPI-PLUS-MIB OID’s

Manu Cert informatie is gedefinieerd in de docsBpi2CmtsCACertEntry OID-tak 1.3.6.1.2.1.10.127.6.1.2.5.2.1, beschreven in de SNMP Object Navigator.

Relevante SNMP-OID’s

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

In opdrachtvoorbeelden geeft ellips (...) aan dat bepaalde informatie is weggelaten voor leesbaarheid.

Oplossing

CM firmware update is de beste oplossing op lange termijn. Workarounds die in dit document worden beschreven, staan CMs met verlopen Manu Certs toe om zich te registreren en online te blijven met de cBR-8, maar deze workarounds worden alleen aanbevolen voor korte termijn gebruik. Als een CM firmware-update geen optie is, is een CM-vervangingsstrategie een goede langetermijnoplossing vanuit het oogpunt van beveiliging en werking. De hier beschreven oplossingen hebben betrekking op verschillende omstandigheden of scenario's en kunnen afzonderlijk of, ten dele, in combinatie met elkaar worden gebruikt;

• CM-firmware bijwerken
• Stel een bekende Manu Cert in op Trusted
• CM-service herstellen na afloop van een bekend Manu Cert
• Installeer een onbekend Verlopen Manu Cert op cBR-8 en Mark Trusted

• Toestemming Verlopen CM Certs en Manu Certs worden toegevoegd door AuthInfo met een cBR-8 CLI Opdracht

Opmerking: Als BPI wordt verwijderd, schakelt dit encryptie en authenticatie uit, wat de levensvatbaarheid ervan als tijdelijke oplossing minimaliseert.

CM-firmware bijwerken

In veel gevallen, CM fabrikanten leveren CM firmware updates die de geldigheid einddatum van de Manu Cert verlengen. Deze oplossing is de beste optie en voorkomt, wanneer uitgevoerd voordat een Manu Cert verloopt, gerelateerde gevolgen voor de service. CMs laden de nieuwe firmware en opnieuw registreren met nieuwe Manu Certs en CM Certs. De nieuwe certificaten kunnen op de juiste manier worden geauthenticeerd en de CM's kunnen zich met succes registreren bij cBR-8. De nieuwe Manu Cert en CM Cert kunnen een nieuwe certificaatketen maken terug naar het bekende Root Certificate dat al in cBR-8 is geïnstalleerd.

Stel een bekende Manu Cert in op Trusted

Wanneer een CM firmware update niet beschikbaar is vanwege een CM Fabrikant is gestopt met zaken, geen verdere ondersteuning voor een CM model, enzovoorts, kunnen Manu Certs die al bekend zijn op de cBR-8 met validatie einddata in de nabije toekomst proactief worden gemarkeerd vertrouwd in de cBR-8 voorafgaand aan de validiteit einddatum. De cBR-8 CLI-opdrachten en SNMP worden gebruikt om Manu Cert-informatie te identificeren, zoals serienummer en vertrouwensstatus, en SNMP wordt gebruikt om de Manu Cert-vertrouwensstatus in te stellen op vertrouwde functies in de cBR-8, die geassocieerde CM's in staat stelt te registreren en in bedrijf te blijven.

Bekende Manu Certs voor momenteel in-service en online CM's worden meestal geleerd door de cBR-8 van een CM via het DOCSIS Baseline Privacy Interface (BPI) protocol. Het AuthInfo-bericht dat van de CM naar de cBR-8 wordt gestuurd bevat de Manu Cert. Elke unieke Manu Cert wordt opgeslagen in cBR-8 geheugen en de informatie kan worden bekeken door cBR-8 CLI opdrachten en SNMP.

Als de Manu Cert wordt gemarkeerd als vertrouwd, dat doet twee belangrijke dingen. Ten eerste kan de cBR-8 BPI-software de verlopen geldigheidsdatum negeren. Ten tweede slaat het de Manu Cert op zoals vertrouwd in cBR-8 NVRAM. Hierdoor blijft de Manu Cert-status behouden bij een cBR-8 herlading en is het niet meer nodig deze procedure te herhalen bij een cBR-8 herlading.

De opdrachtvoorbeelden CLI en SNMP tonen aan hoe u een Manu Cert-index, serienummer en vertrouwensstatus kunt identificeren; dan gebruik die informatie om de vertrouwensstaat in vertrouwd te veranderen. De voorbeelden richten zich op de Manu Cert met indexnummer 4 en serienummer 437498F09A7DCBC1FA7A101FE976E40.

Bekijk Manu Cert Informatie van de cBR-8 CLI

In dit voorbeeld de cBR-8 CLI opdracht tonen kabelprivacy fabrikant-cert-lijst wordt gebruikt.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

Informatie over Manu Cert met SNMP vanuit de cBR-8 CLI bekijken

In dit voorbeeld wordt de cBR-8 CLI opdracht snmp get-bulk gebruikt. Cert Indices 4 & 5 zijn de Manu Certs opgeslagen in het CMTS geheugen. De indexen 1, 2 en 3 zijn basiscertificaten. Root Certificaten zijn hier niet de zorg omdat hun verloopdatums veel langer zijn. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

Informatie over Manu Cert met SNMP bekijken vanaf een extern apparaat

De externe SNMP-voorbeelden in dit document gebruiken SNMP-opdrachten van een externe Ubuntu Linux-server. De specifieke SNMP-opdrachten en -formaten zijn afhankelijk van het apparaat en het besturingssysteem dat wordt gebruikt om de SNMP-opdrachten uit te voeren.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

De einddatum voor de geldigheid van Manu Cert in de CLI identificeren

Gebruik de cBR-8 linecard CLI opdracht tonen crypto pki certificaten om de Manu Cert validiteit einddatum te identificeren. Deze opdrachtoutput bevat niet de Manu Cert Index. Het serienummer van het certificaat kan worden gebruikt om Manu Cert-informatie die uit deze opdracht is geleerd, te correleren met de Manu Cert-informatie die van SNMP is geleerd.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Stel de vertrouwensstatus van Manu Cert in op Trusted

De voorbeelden tonen de vertrouwensstaat die van geketend in vertrouwd voor Manu Cert met Index = 4 en Serienummer = 437498f09a7dcbc1fa7aa101fe976e40 is veranderd

OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 waarden:

1: vertrouwd
2: onbetrouwbaar
3: geketend
4: wortel

Dit voorbeeld toont de cBR-8 CLI snmp-set opdracht die wordt gebruikt om de vertrouwensstatus te wijzigen

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Dit voorbeeld laat zien dat een apparaat op afstand SNMP gebruikt om de vertrouwensstatus te wijzigen

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

Bevestig de wijzigingen in het beheerprogramma met de cBR-8 CLI of met SNMP

• De vertrouwenswaarde veranderde van geketend in vertrouwd
• De bronwaarde is gewijzigd in SNMP, wat aangeeft dat het certificaat het laatst is beheerd door SNMP en niet via het BPI Protocol AuthInfo-bericht

Dit voorbeeld toont de cBR-8 CLI-opdracht die wordt gebruikt om de wijzigingen te bevestigen

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

Dit voorbeeld laat zien hoe een apparaat op afstand SNMP gebruikt om de wijzigingen te bevestigen

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

CM-service herstellen na afloop van een bekend Manu Cert

Een eerder bekend Manu Cert is een certificaat dat al in de cBR-8 database aanwezig is, meestal als gevolg van AuthInfo-berichten van eerdere CM-registratie. Als een Manu Cert niet gemarkeerd vertrouwd en verloopt, kan een CM die de verlopen Manu Cert gebruikt en offline gaat, niet opnieuw registreren en wordt gemarkeerd als verworpen (pk). In dit gedeelte wordt beschreven hoe u kunt herstellen van deze toestand en CM's met verlopen Manu Certs kunt registreren en in dienst kunt blijven.

Wanneer CM's niet online komen en als gevolg van verlopen Manu Certs worden gemarkeerd verworpen (pk), wordt er een syslog-bericht gegenereerd dat het CM MAC-adres en het verlopen Manu Cert serienummer bevat.

Identificeer het Verlopen Manu Cert serienummer uit het cBR-8 logbericht

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

Identificeer de index voor de Verlopen Manu Cert en stel de Manu Cert Trust State in op Trusted

Dit voorbeeld toont de cBR-8 CLI SNMP-opdrachten die worden gebruikt om de index voor het serienummer van Manu Cert te identificeren vanuit het logbericht, dat vervolgens wordt gebruikt om de vertrouwensstatus van Manu Cert in te stellen op vertrouwde bronnen.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Dit voorbeeld laat zien dat een extern apparaat SNMP-opdrachten gebruikt om de index voor het serienummer van Manu Cert te identificeren vanuit het logbericht, dat vervolgens wordt gebruikt om de vertrouwensstatus van Manu Cert in te stellen op vertrouwde functies.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

Installeer een onbekend Verlopen Manu Cert op cBR-8 en Mark Trusted

Wanneer een verlopen Manu Cert niet bekend is bij cBR-8 kan het niet worden beheerd (gemarkeerd vertrouwd) voor het verloopdatumverloop en kan het niet worden hersteld. Dit gebeurt wanneer een CM die voorheen onbekend was en niet op een cBR-8 was geregistreerd probeert te registreren met een onbekend en verlopen Manu Cert. De Manu Cert moet worden toegevoegd aan de cBR-8 door SNMP vanaf een extern apparaat of gebruik de kabelprivacy-gereserveerde-mislukte certificaten cBR-8 kabelinterfaceconfiguratie om het mogelijk te maken dat een verlopen Manu Cert wordt toegevoegd door AuthInfo. De cBR-8 CLI SNMP-opdrachten kunnen niet worden gebruikt om een certificaat toe te voegen omdat het aantal tekens in de certificaatgegevens de maximale door de CLI aanvaarde tekens overschrijdt.  Als een zelf-ondertekend certificaat wordt toegevoegd, moet het bevel van het akkoord-zelf-ondertekend-certificaat van de kabelprivacy onder cBR-8 kabelinterface worden gevormd alvorens cBR-8 het certificaat kan goedkeuren. 

Voeg een Verlopen Manu Cert toe aan de cBR-8 met SNMP

Gebruik deze docsBpi2CmtsCACertTable OID-waarden om de Manu Cert als een nieuwe tabelingang toe te voegen. De hexadecimale waarde van de Manu Cert die door de docsBpi2CmtsCACert OID wordt bepaald kan met de stappen van de de certificaatstortplaats van CA worden geleerd die in het steunartikel worden beschreven Hoe te om DOCSIS- Certificaat voor de Diagnose van de Modem te decoderen Stuck.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

Gebruik een uniek indexnummer voor de toegevoegde Manu Cert. De indexen van Manu Certs die reeds op cBR-8 aanwezig zijn kunnen worden gecontroleerd met de show kabel privacy fabrikant-cert-list opdracht.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

De voorbeelden in deze sectie gebruiken een indexwaarde van 11 voor de Manu Cert toegevoegd aan de cBR-8 database.

Tip: Stel altijd de CertStatus-kenmerken in vóór de feitelijke certificaatgegevens. Anders gaat de CMTS ervan uit dat het certificaat geketend is en probeert het onmiddellijk te verifiëren bij de fabrikanten en basiscertificaten.

Sommige besturingssystemen kunnen geen invoerlijnen accepteren die zo lang zijn als nodig is om de hexadecimale gegevensstring in te voeren die een certificaat specificeert. Om deze reden kan een grafische SNMP-beheerder worden gebruikt om deze eigenschappen in te stellen. Voor een aantal certificaten kan, als dit gemakkelijker is, een scriptbestand worden gebruikt.

Dit voorbeeld laat zien hoe een apparaat op afstand SNMP gebruikt om een Manu Cert certificaat toe te voegen aan cBR-8. De meeste certificaatgegevens zijn verplicht om leesbaar te zijn, aangegeven door elipses (...). 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

Laat een Verlopen Manu Cert toe om door AuthInfo met een cBR-8 CLI Opdracht worden toegevoegd

Een Manu Cert voert de cBR-8 database meestal in met behulp van het BPI Protocol AuthInfo bericht dat vanuit de CM naar cBR-8 wordt gestuurd. Elke unieke en geldige Manu Cert ontvangen in een AuthInfo bericht wordt toegevoegd aan de database. Als de Manu Cert onbekend is bij de CMTS (niet in de database) en de geldigheidsduur is verlopen, wordt AuthInfo geweigerd en wordt de Manu Cert niet toegevoegd aan de cBR-8 database. Een verlopen Manu Cert kan aan de CMTS worden toegevoegd door de AuthInfo-uitwisseling wanneer de tijdelijke configuratie van de kabelprivacy-behoud-mislukte certificaten aanwezig is onder de cBR-8 kabelinterfaceconfiguratie. Dit maakt het mogelijk om de verlopen Manu Cert toe te voegen aan de cBR-8 database als onbetrouwbaar. Om de verlopen Manu Cert te gebruiken, moet SNMP worden gebruikt om te markeren het vertrouwd. Wanneer de verlopen Manu Cert is toegevoegd aan de cBR-8 en gemarkeerd vertrouwd, wordt verwijdering van de kabelprivacy-behoud-mislukte-certificaten configuratie aanbevolen, zodat extra, potentieel ongewenste, Manu Certs niet het systeem invoeren.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

Toestemming Verlopen CM Certs en Manu Certs worden toegevoegd door AuthInfo met een cBR-8 CLI Opdracht

Een verlopen CM-certificaat kan aan de CMTS worden toegevoegd door de AuthInfo-uitwisseling wanneer zowel de reservestoringen van de kabelprivacy en de skip-validiteitsperiodes van de kabelprivacy onder elke relevante kabelinterface zijn geconfigureerd. Dit zorgt ervoor dat de cBR-8 vervaldatumcontroles negeert voor ALL CM en Manu Certs verzonden in het CM BPI AuthInfo bericht. Wanneer de verlopen CM en Manu Certs worden toegevoegd aan de cBR-8 en gemarkeerd vertrouwd, wordt verwijdering van de beschreven configuratie aanbevolen, zodat extra, potentieel ongewenste, Certs niet het systeem invoeren.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

Aanvullende informatie

Overweging voor configuratie van MAC-domein/kabelinterface

De configuratieopdrachten voor de behoud-mislukte-certificaten en de skip-validiteitsperiode voor de kabelprivacy worden gebruikt op het niveau van het MAC-domein/de kabelinterface en zijn niet beperkend. De opdracht behouden-mislukte certificaten kan elk mislukt certificaat toevoegen aan de cBR-8 database en de opdracht geldigheid-periode overslaan kan geldigheidsdatumcontroles overslaan op alle Manu en CM certs.

SNMP-pakketgrootte in overweging

Een SNMP krijg voor Cert gegevens kan een NULL waarde teruggeven als de Cert OctetString groter is dan de SNMP pakketgrootte. Een cBR-8 SNMP-configuratie kan worden gebruikt wanneer grote certificaten worden gebruikt.

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Manu Cert Debug

Manu Cert debug op cBR-8 wordt ondersteund met de opdrachten debug Cable Privacy Card en debug Cable Mac-Address <CM mac-address>. Aanvullende debug-informatie wordt uitgelegd in het ondersteuningsartikel How to Decode DOCSIS Certificate for Modem Stuck State Diagnosis. Dit omvat CA Certificate Dump stappen die gebruikt worden om de hexadecimale waarde van een Manu Cert te leren.

Verwante ondersteuningsdocumentatie

• DOCSIS 1.1 voor de Cisco CMTS-routers biedt aanvullende informatie over cBR-8 ondersteuning en configuratie van DOCSIS-privacy-interface (BPI+).
• Cisco CMTS-kabelopdrachtreferentie biedt informatie over cBR-8 CLI-opdrachten waarnaar in dit document wordt verwezen.
• Work Around and Recover Verlopen Certificaten van de Fabrikant op uBR10K biedt vergelijkbare informatie als dit document voor de uBR10K CMTS.
• Technische ondersteuning en documentatie – Cisco Systems