O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as opções para evitar, solucionar e recuperar de impactos de serviço reject(pk) de modem de cabo (CM) no CMTS (Sistema de Terminação de Modem de Cabo) cBR-8 que resultam da expiração do Certificado do Fabricante (Certificado Manual).
Há diferentes causas para um CM ficar preso no estado reject(pk) no cBR-8. Uma causa é a expiração do Certificado de Manu. O certificado Manu é usado para autenticação entre um CM e um CMTS. Neste documento, um Certificado de Manu é o que a Especificação de Segurança CM-SP-SECv3.0 do DOCSIS 3.0 chama de certificado CA de Manufatura do CableLabs ou certificado CA de Fabricante. Expirar significa que a data/hora do sistema cBR-8 excede a data/hora de término da validade de Certificado Manu.
Um CM que tenta se registrar com o cBR-8 após a expiração do certificado de Manu é marcado como reject(pk) pelo CMTS e não está em serviço. Um CM já registrado com o cBR-8 e em serviço quando o Certificado Manu expira pode permanecer em serviço até a próxima vez que o CM tenta se registrar, o que pode ocorrer após um único evento CM off-line, reinício da placa de linha de cabo cBR-8, recarregamento cBR-8 ou outro evento acionar o registro CM. Nesse momento, o CM falha na autenticação, é marcado como reject(pk) pela cBR-8 e não está em serviço.
As informações neste documento expandem e reformata o conteúdo publicado nos Cable Modems e nos Certificados do Fabricante em Vencimento no Boletim de Produto cBR-8.
Note: ID de bug Cisco CSCvv21785; Em algumas versões do Cisco IOS XE, esse bug faz com que um Certificado Manu confiável falhe na validação após um recarregamento cBR-8. Em alguns casos, o Certificado Manu está presente, mas não está mais no estado confiável. Nesse caso, o estado de confiança Certificado Manu pode ser alterado para confiável com as etapas descritas neste documento. Se o Certificado Manu não estiver presente na saída do comando show cable privacy manufaturer-cert-list, o Certificado Manu pode ser adicionado novamente manualmente ou por AuthInfo com etapas descritas neste documento.
As informações de certificação manual podem ser visualizadas através de comandos CLI cBR-8 ou comandos SNMP (Simple Network Management Protocol) de um dispositivo remoto. A CLI cBR-8 também suporta os comandos set, get e get-bulk do SNMP. Esses comandos e informações são usados pelas soluções descritas neste documento.
As informações do Manu Cert podem ser visualizadas com esses comandos CLI cBR-8.
Esses comandos SNMP do Cisco IOS® XE são usados na CLI cBR-8 para obter e definir OIDs de SNMP.
Esses comandos de configuração de interface de cabo cBR-8 são usados para soluções alternativas e recuperação descritas na seção Solução deste documento.
As informações do Manu Cert são definidas no docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1, descrito no SNMP Object Navigator.
OIDs SNMP relevantes
docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8
Em exemplos de comandos, reticências (...) indicam que algumas informações foram omitidas para facilitar a leitura.
A atualização do firmware CM é a melhor solução a longo prazo. As soluções descritas neste documento permitem que CMs com certificados Manu expirados se registrem e permaneçam on-line com a cBR-8, mas essas soluções são recomendadas apenas para uso em curto prazo. Se uma atualização de firmware do CM não for uma opção, uma estratégia de substituição do CM é uma boa solução de longo prazo de uma perspectiva de segurança e operações. As soluções aqui descritas abordam diferentes condições ou cenários e podem ser utilizadas individualmente ou, em alguns casos, em combinação;
Note: Se o BPI for removido, isso desativará a criptografia e a autenticação, o que minimizará a viabilidade disso como uma solução alternativa.
Em muitos casos, os fabricantes de CM fornecem atualizações de firmware de CM que estendem a data final de validade do Certificado de Manu. Essa solução é a melhor opção e, quando executada antes da expiração de um certificado Manu, evita os impactos relacionados ao serviço. Os CMs carregam o novo firmware e registram-se novamente com os novos certificados Manu e CM. Os novos certificados podem ser autenticados corretamente e os CMs podem ser registrados com êxito na cBR-8. Os novos Certificados Manu e CM podem criar uma nova cadeia de certificados de volta ao Certificado Raiz conhecido já instalado na cBR-8.
Quando uma atualização de firmware CM está indisponível devido a um fabricante de CM ter cessado suas atividades, não há mais suporte para um modelo CM e assim por diante, os certificados Manu já conhecidos na cBR-8 com datas de término de validade em um futuro próximo podem ser marcados como confiáveis de forma proativa na cBR-8 antes da data de término de validade. Os comandos cBR-8 CLI e SNMP são usados para identificar informações de Certificação Manu, como número de série e estado confiável, e o SNMP é usado para definir o estado confiável do Certificado Manu como confiável no cBR-8, que permite que CMs associados se registrem e permaneçam em serviço.
Os certificados manuais conhecidos para CMs atualmente em serviço e on-line são geralmente aprendidos pelo cBR-8 de um CM através do protocolo BPI (Baseline Privacy Interface) do DOCSIS. A mensagem AuthInfo enviada do CM para o cBR-8 contém o Certificado Manu. Cada certificado Manu exclusivo é armazenado na memória cBR-8 e suas informações podem ser visualizadas por comandos CLI cBR-8 e SNMP.
Quando o Certificado de Manu é marcado como confiável, isso faz duas coisas importantes. Primeiro, ele permite que o software cBR-8 BPI ignore a data de validade expirada. Em segundo lugar, ele armazena o certificado Manu como confiável na NVRAM cBR-8. Isso preserva o estado Manu Cert em uma recarga cBR-8 e elimina a necessidade de repetir esse procedimento no caso de uma recarga cBR-8.
Os exemplos de comandos CLI e SNMP demonstram como identificar um índice de Certificado Manu, um número de série e um estado de confiança; em seguida, use essas informações para alterar o estado de confiança para confiável. Os exemplos enfocam o Certificado Manu com Índice 4 e Número de Série 437498F09A7DCBC1FA7AA101FE976E40.
Neste exemplo, o comando cBR-8 CLI show cable privacy manufaturer-cert-list é usado.
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B
Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 701F760559283586AC9B0E2666562F0E
Thumbprint: E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982
Neste exemplo, o comando cBR-8 CLI snmp get-bulk é usado. Os índices de certificação 4 e 5 são os certificados Manu armazenados na memória CMTS. Os índices 1, 2 e 3 são Certificados Raiz. Certificados raiz não são uma preocupação aqui, pois suas datas de expiração são muito mais longas.
docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS
docsBpi2CmtsCACertSubject.3 = CableLabs
docsBpi2CmtsCACertSubject.4 = Motorola
docsBpi2CmtsCACertSubject.5 = CableLabs
docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.1 = 4
docsBpi2CmtsCACertTrust.2 = 4
docsBpi2CmtsCACertTrust.3 = 4
docsBpi2CmtsCACertTrust.4 = 3 (3 = chained)
docsBpi2CmtsCACertTrust.5 = 3
docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0
docsBpi2CmtsCACertSource.1 = 4
docsBpi2CmtsCACertSource.2 = 4
docsBpi2CmtsCACertSource.3 = 4
docsBpi2CmtsCACertSource.4 = 5 (5 = authentInfo)
docsBpi2CmtsCACertSource.5 = 5
docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0
docsBpi2CmtsCACertStatus.1 = 1
docsBpi2CmtsCACertStatus.2 = 1
docsBpi2CmtsCACertStatus.3 = 1
docsBpi2CmtsCACertStatus.4 = 1 (1 = active)
docsBpi2CmtsCACertStatus.5 = 1
Os exemplos de SNMP de dispositivo remoto neste documento usam comandos SNMP de um servidor Ubuntu Linux remoto. Os comandos e formatos específicos do SNMP dependem do dispositivo e do sistema operacional usados para executar os comandos do SNMP.
docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"
docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"
docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3 (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3
docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5 (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5
docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1 (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1
Use o comando cBR-8 linecard CLI show crypto pki certificates para identificar a data de término da validade do certificado Manu Cert. Esta saída de comando não inclui o Índice de Certificação Manu. O número de série do certificado pode ser usado para correlacionar as informações do certificado Manu obtidas desse comando com as informações do certificado Manu obtidas do SNMP.
CBR8-1#request platform software console attach
request platform software console attach 6/0
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Device Certification Authority
ou=Device CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2049
Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23
CA Certificate
Status: Available
Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Motorola Corporation Cable Modem Root Certificate Authority
ou=ASG
ou=DOCSIS
l=San Diego
st=California
o=Motorola Corporation
c=US
Validity Date:
start date: 00:00:00 GMT Jul 11 2001
end date: 23:59:59 GMT Jul 10 2021
Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f
CA Certificate
Status: Available
Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2064
Associated Trustpoints: DOCSIS-D31-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
Certificate Usage: Signature
Issuer:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE Subject:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE
Validity Date:
start date: 00:00:00 GMT Sep 21 2001
end date: 23:59:59 GMT Sep 20 2031
Associated Trustpoints: DOCSIS-EU-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Validity Date:
start date: 00:00:00 GMT Feb 1 2001
end date: 23:59:59 GMT Jan 31 2031
Associated Trustpoints: DOCSIS-US-TRUSTPOINT
Os exemplos mostram que o estado de confiança mudou de encadeado para confiável para o Certificado Manu com Índice = 4 e Número de série = 437498f09a7dcbc1fa7aa101fe976e40
OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 valores:
1: confiável
2: não confiável
3: em cadeia
4: root
Este exemplo mostra o comando cBR-8 CLI snmp-set usado para alterar o estado de confiança
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2305483, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Este exemplo mostra um dispositivo remoto que usa SNMP para alterar o estado de confiança
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Este exemplo mostra o comando cBR-8 CLI usado para confirmar as alterações
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...
Este exemplo mostra um dispositivo remoto que usa SNMP para confirmar as alterações
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1 (1 = snmp)
Um Certificado Manu conhecido anteriormente é um certificado já presente no banco de dados cBR-8, geralmente como resultado de mensagens AuthInfo do registro CM anterior. Se um Certificado Manu não estiver marcado como confiável e expirar, qualquer CM que usar o Certificado Manu expirado e ficar offline não poderá se registrar novamente e estará marcado como reject(pk). Esta seção descreve como se recuperar dessa condição e permitir que CMs com certificados Manu expirados se registrem e permaneçam em serviço.
Quando os CMs não ficam on-line e são marcados como reject(pk) como resultado de Certificados Manu expirados, uma mensagem de syslog é gerada e contém o Endereço MAC CM e o Número de Série do Certificado Manu expirado.
CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired
Este exemplo mostra os comandos SNMP cBR-8 CLI usados para identificar o índice para o número de série do Certificado Manu da mensagem de log, que é usada para definir o estado confiável do Certificado Manu.
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2351849, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2353143, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
Este exemplo mostra um dispositivo remoto que usa comandos SNMP para identificar o índice para o número de série do certificado Manu na mensagem de log, que é então usada para definir o estado confiável do certificado Manu.
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
Quando um certificado Manu expirado não é conhecido pela cBR-8, ele não pode ser gerenciado (marcado como confiável) antes da expiração e não pode ser recuperado. Isso acontece quando um CM que é anteriormente desconhecido e não registrado em um cBR-8 tenta registrar com um Certificado Manu desconhecido e expirado. O Cert Manu deve ser adicionado ao cBR-8 pelo SNMP de um dispositivo remoto ou use a configuração de interface de cabo cable privacy keep-failed-certificates cBR-8 para permitir que um Cert Manu expirado seja adicionado pelo AuthInfo. Os comandos cBR-8 CLI SNMP não podem ser usados para adicionar um certificado porque o número de caracteres nos dados do certificado excede o número máximo de caracteres aceitos pela CLI. Se um certificado autoassinado for adicionado, o comando cable privacy accept-self-signed-certificate deverá ser configurado na interface do cabo cBR-8 antes que o cBR-8 possa aceitar o certificado.
Use estes valores de OID docsBpi2CmtsCACertTable para adicionar o Certificado Manu como uma nova entrada de tabela. O valor hexadecimal do Certificado Manu definido pelo OID docsBpi2CmtsCACert pode ser aprendido com as etapas de Despejo de Certificado CA descritas no artigo de suporte Como Decodificar Certificado DOCSIS para Diagnóstico de Estado de Travamento de Modem.
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)
Use um número de índice exclusivo para o certificado Manu adicionado. Os índices dos certificados Manu já presentes no cBR-8 podem ser verificados com o comando show cable privacy manufaturer-cert-list.
CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7
Os exemplos nesta seção usam um valor de índice 11 para o Certificado Manu adicionado ao banco de dados cBR-8.
Tip: Sempre defina os atributos CertStatus antes dos dados do certificado real. Caso contrário, o CMTS supõe que o certificado está encadeado e tenta imediatamente verificá-lo com os fabricantes e os certificados raiz.
Alguns sistemas operacionais não podem aceitar linhas de entrada com o tempo necessário para inserir a cadeia de dados hexadecimal que especifica um certificado. Por esse motivo, um gerenciador SNMP gráfico pode ser usado para definir esses atributos. Para vários certificados, um arquivo de script pode ser usado, se for mais conveniente.
Este exemplo mostra um dispositivo remoto que usa SNMP para adicionar um certificado de certificado Manu Cert à cBR-8. A maioria dos dados do certificado é omitida para legibilidade, indicada por reticências (...).
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1
Um Certificado Manu normalmente entra no banco de dados cBR-8 pela mensagem AuthInfo do Protocolo BPI enviada para o cBR-8 do CM. Cada certificado Manu exclusivo e válido recebido em uma mensagem AuthInfo é adicionado ao banco de dados. Se o certificado Manu for desconhecido para o CMTS (não no banco de dados) e tiver datas de validade expiradas, AuthInfo será rejeitado e o certificado Manu não será adicionado ao banco de dados cBR-8. Um certificado Manu expirado pode ser adicionado ao CMTS pela troca de AuthInfo quando a configuração de solução alternativa de certificados de retenção de privacidade de cabo estiver presente na configuração de interface de cabo cBR-8. Isso permite a adição do certificado Manu expirado ao banco de dados cBR-8 como não confiável. Para usar o certificado Manu expirado, o SNMP deve ser usado para marcá-lo como confiável. Quando o Certificado Manu expirado é adicionado ao cBR-8 e marcado como confiável, a remoção da configuração cable privacy keep-failed-certificates é recomendada para que outros certificados Manu potencialmente indesejados não entrem no sistema.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end
Um certificado CM expirado pode ser adicionado ao CMTS pela troca AuthInfo quando os comandos cable privacy keep-failed-certificates e cable privacy skip-valid-period são configurados em cada interface de cabo relevante. Isso faz com que o cBR-8 ignore as verificações de data de validade expirada para TODOS os certificados CM e Manu enviados na mensagem CM BPI AuthInfo. Quando os certificados CM e Manu expirados são adicionados ao cBR-8 e marcados como confiáveis, a remoção da configuração descrita é recomendada para que os certificados adicionais, potencialmente indesejados, não entrem no sistema.
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start
Os comandos de configuração cable privacy keep-failed-certificates e cable privacy skip-valid-period são usados no nível de interface de cabo/domínio MAC e não são restritivos. O comando keep-failed-certificates pode adicionar qualquer certificado com falha ao banco de dados cBR-8 e o comando skip-valid-period pode ignorar as verificações de data de validade em todos os certificados Manu e CM.
Um get SNMP para dados Cert pode retornar um valor NULL se o OctetString Cert for maior que o tamanho do pacote SNMP. Uma configuração SNMP cBR-8 pode ser usada quando certificados de grande porte são usados;
CBR8-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start
A depuração Manu Cert no cBR-8 é suportada com os comandos debug cable privacy ca-cert e debug cable mac-address <CM mac-address>. Informações adicionais de depuração são explicadas no artigo de suporte Como decodificar o certificado DOCSIS para o diagnóstico de estado de travamento do modem. Isso inclui as etapas de despejo de certificado CA usadas para aprender o valor hexadecimal de um certificado Manu.
Revisão | Data de publicação | Comentários |
---|---|---|
2.0 |
08-Dec-2021
|
Adicione uma observação para o ID de bug da Cisco CSCvv21785. Pequenas alterações de formato. |
1.0 |
30-Nov-2021
|
Versão inicial |