Solução alternativa e recuperação de certificados de fabricante expirados em cBR-8

Opções de download

  • PDF     (300.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (94.7 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (93.6 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de dezembro de 2021
ID do documento:217589

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as opções para evitar, solucionar e recuperar de impactos de serviço reject(pk) de modem de cabo (CM) no CMTS (Sistema de Terminação de Modem de Cabo) cBR-8 que resultam da expiração do Certificado do Fabricante (Certificado Manual).

    Problema

    Há diferentes causas para um CM ficar preso no estado reject(pk) no cBR-8. Uma causa é a expiração do Certificado de Manu. O certificado Manu é usado para autenticação entre um CM e um CMTS. Neste documento, um Certificado de Manu é o que a Especificação de Segurança CM-SP-SECv3.0 do DOCSIS 3.0 chama de certificado CA de Manufatura do CableLabs ou certificado CA de Fabricante. Expirar significa que a data/hora do sistema cBR-8 excede a data/hora de término da validade de Certificado Manu.

    Um CM que tenta se registrar com o cBR-8 após a expiração do certificado de Manu é marcado como reject(pk) pelo CMTS e não está em serviço. Um CM já registrado com o cBR-8 e em serviço quando o Certificado Manu expira pode permanecer em serviço até a próxima vez que o CM tenta se registrar, o que pode ocorrer após um único evento CM off-line, reinício da placa de linha de cabo cBR-8, recarregamento cBR-8 ou outro evento acionar o registro CM. Nesse momento, o CM falha na autenticação, é marcado como reject(pk) pela cBR-8 e não está em serviço.

    As informações neste documento expandem e reformata o conteúdo publicado nos Cable Modems e nos Certificados do Fabricante em Vencimento no Boletim de Produto cBR-8.

    Note: ID de bug Cisco CSCvv21785; Em algumas versões do Cisco IOS XE, esse bug faz com que um Certificado Manu confiável falhe na validação após um recarregamento cBR-8. Em alguns casos, o Certificado Manu está presente, mas não está mais no estado confiável. Nesse caso, o estado de confiança Certificado Manu pode ser alterado para confiável com as etapas descritas neste documento. Se o Certificado Manu não estiver presente na saída do comando show cable privacy manufaturer-cert-list, o Certificado Manu pode ser adicionado novamente manualmente ou por AuthInfo com etapas descritas neste documento.

    Informações do certificado Manu

    As informações de certificação manual podem ser visualizadas através de comandos CLI cBR-8 ou comandos SNMP (Simple Network Management Protocol) de um dispositivo remoto. A CLI cBR-8 também suporta os comandos set, get e get-bulk do SNMP. Esses comandos e informações são usados pelas soluções descritas neste documento.

    Campos e Atributos de Informações de Certificado Manual

    • Índice: Um inteiro exclusivo atribuído a cada certificado Manu no banco de dados/MIB cBR-8
    • Assunto:  O nome da entidade exatamente como está codificado no certificado X509
      • cn: NomeComum
      • Você: UnidadeOrganizacional
      • o: Organização
      • I: Localidade
      • s: Nome do Estado
      • c : Nome do país
    • Emissor: A autoridade de certificação
    • Número de série: Número de série do certificado representado em uma sequência de octeto hexadecimal
    • Estado: O status de Confiança do certificado
      • confiável
      • não confiável
      • em cadeia
      • root
    • Fonte: Como o certificado atingiu o CMTS
      • snmp:
      • arquivo de configuração
      • externalDatabase
      • outros
      • infoAutent
      • compiledInfoCode
    • Status/RowStatus: Status do certificado
      • ativo
      • nãoEmServiço
      • nãoPronto
      • createAndGo
      • criar e aguardar
      • destruir
    • Certificado: O certificado de autoridade de certificação codificado DER X509
    • Data de validade: As datas de início e término que definem o período de validade Manu Cert relativo à data e hora do sistema CMTS
      • data de início: A data e a hora em que o Certificado Manu se torna válido
      • data final: A data e a hora em que o Certificado Manu não é mais válido
    • Certificado: O certificado de autoridade de certificação codificado DER X509
    • Impressão digital: O hash SHA-1 de um certificado CA

    Comandos CLI cBR-8

    As informações do Manu Cert podem ser visualizadas com esses comandos CLI cBR-8.

    • A partir do modo exec CLI cBR-8 ou do modo exec CLI da placa de linha: CBR8-1#show cable privacy manufaturer-cert-list
    • A partir do modo exec da placa de linha cBR-8: Slot-6-0#show crypto pki certificates

    Esses comandos SNMP do Cisco IOS® XE são usados na CLI cBR-8 para obter e definir OIDs de SNMP.

    Esses comandos de configuração de interface de cabo cBR-8 são usados para soluções alternativas e recuperação descritas na seção Solução deste documento.

    OIDs DOCSIS-BPI-PLUS-MIB

    As informações do Manu Cert são definidas no docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1, descrito no SNMP Object Navigator.

    OIDs SNMP relevantes

    docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

    Em exemplos de comandos, reticências (...) indicam que algumas informações foram omitidas para facilitar a leitura.

    Solução

    A atualização do firmware CM é a melhor solução a longo prazo. As soluções descritas neste documento permitem que CMs com certificados Manu expirados se registrem e permaneçam on-line com a cBR-8, mas essas soluções são recomendadas apenas para uso em curto prazo. Se uma atualização de firmware do CM não for uma opção, uma estratégia de substituição do CM é uma boa solução de longo prazo de uma perspectiva de segurança e operações. As soluções aqui descritas abordam diferentes condições ou cenários e podem ser utilizadas individualmente ou, em alguns casos, em combinação;

    Note: Se o BPI for removido, isso desativará a criptografia e a autenticação, o que minimizará a viabilidade disso como uma solução alternativa.

    Atualizar Firmware CM

    Em muitos casos, os fabricantes de CM fornecem atualizações de firmware de CM que estendem a data final de validade do Certificado de Manu. Essa solução é a melhor opção e, quando executada antes da expiração de um certificado Manu, evita os impactos relacionados ao serviço. Os CMs carregam o novo firmware e registram-se novamente com os novos certificados Manu e CM. Os novos certificados podem ser autenticados corretamente e os CMs podem ser registrados com êxito na cBR-8. Os novos Certificados Manu e CM podem criar uma nova cadeia de certificados de volta ao Certificado Raiz conhecido já instalado na cBR-8.

    Definir um certificado manual conhecido como confiável

    Quando uma atualização de firmware CM está indisponível devido a um fabricante de CM ter cessado suas atividades, não há mais suporte para um modelo CM e assim por diante, os certificados Manu já conhecidos na cBR-8 com datas de término de validade em um futuro próximo podem ser marcados como confiáveis de forma proativa na cBR-8 antes da data de término de validade. Os comandos cBR-8 CLI e SNMP são usados para identificar informações de Certificação Manu, como número de série e estado confiável, e o SNMP é usado para definir o estado confiável do Certificado Manu como confiável no cBR-8, que permite que CMs associados se registrem e permaneçam em serviço.

    Os certificados manuais conhecidos para CMs atualmente em serviço e on-line são geralmente aprendidos pelo cBR-8 de um CM através do protocolo BPI (Baseline Privacy Interface) do DOCSIS. A mensagem AuthInfo enviada do CM para o cBR-8 contém o Certificado Manu. Cada certificado Manu exclusivo é armazenado na memória cBR-8 e suas informações podem ser visualizadas por comandos CLI cBR-8 e SNMP.

    Quando o Certificado de Manu é marcado como confiável, isso faz duas coisas importantes. Primeiro, ele permite que o software cBR-8 BPI ignore a data de validade expirada. Em segundo lugar, ele armazena o certificado Manu como confiável na NVRAM cBR-8. Isso preserva o estado Manu Cert em uma recarga cBR-8 e elimina a necessidade de repetir esse procedimento no caso de uma recarga cBR-8.

    Os exemplos de comandos CLI e SNMP demonstram como identificar um índice de Certificado Manu, um número de série e um estado de confiança; em seguida, use essas informações para alterar o estado de confiança para confiável. Os exemplos enfocam o Certificado Manu com Índice 4 e Número de Série 437498F09A7DCBC1FA7AA101FE976E40.

    Veja as informações do Manu Cert na CLI cBR-8

    Neste exemplo, o comando cBR-8 CLI show cable privacy manufaturer-cert-list é usado.

    CBR8-1#show cable privacy manufacturer-cert-list

    Cable Manufacturer Certificates:

    Index: 4
    Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
    Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
    State: Chained
    Source: Auth Info
    RowStatus: Active
    Serial:      437498F09A7DCBC1FA7AA101FE976E40
    Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
    Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

    Index: 5
    Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
    Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
    State: Chained
    Source: Auth Info
    RowStatus: Active
    Serial:      701F760559283586AC9B0E2666562F0E
    Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
    Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

    Ver informações de certificação manual com SNMP a partir da CLI cBR-8

    Neste exemplo, o comando cBR-8 CLI snmp get-bulk é usado. Os índices de certificação 4 e 5 são os certificados Manu armazenados na memória CMTS. Os índices 1, 2 e 3 são Certificados Raiz. Certificados raiz não são uma preocupação aqui, pois suas datas de expiração são muito mais longas. 

    docsBpi2CmtsCACertSubject
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    SNMP Response: reqid 1752673, errstat 0, erridx 0 
    docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
    docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
    docsBpi2CmtsCACertSubject.3 = CableLabs 
    docsBpi2CmtsCACertSubject.4 = Motorola 
    docsBpi2CmtsCACertSubject.5 = CableLabs

    docsBpi2CmtsCACertIssuer
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    SNMP Response: reqid 1752746, errstat 0, erridx 0 
    docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
    docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
    docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
    docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
    docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    SNMP Response: reqid 2300780, errstat 0, erridx 0 
    docsBpi2CmtsCACertSerialNumber.1 = 
    58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    docsBpi2CmtsCACertSerialNumber.2 = 
    63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    docsBpi2CmtsCACertSerialNumber.3 = 
    62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    docsBpi2CmtsCACertSerialNumber.4 = 
    43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    docsBpi2CmtsCACertSerialNumber.5 = 
    70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

    docsBpi2CmtsCACertTrust
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    SNMP Response: reqid 1752778, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.1 = 4 
    docsBpi2CmtsCACertTrust.2 = 4 
    docsBpi2CmtsCACertTrust.3 = 4 
    docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
    docsBpi2CmtsCACertTrust.5 = 3

    docsBpi2CmtsCACertSource
    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    SNMP Response: reqid 1752791, errstat 0, erridx 0 
    docsBpi2CmtsCACertSource.1 = 4 
    docsBpi2CmtsCACertSource.2 = 4 
    docsBpi2CmtsCACertSource.3 = 4 
    docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
    docsBpi2CmtsCACertSource.5 = 5

    docsBpi2CmtsCACertStatus
    CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    SNMP Response: reqid 1752804, errstat 0, erridx 0 
    docsBpi2CmtsCACertStatus.1 = 1 
    docsBpi2CmtsCACertStatus.2 = 1 
    docsBpi2CmtsCACertStatus.3 = 1 
    docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
    docsBpi2CmtsCACertStatus.5 = 1

    Exibir informações de certificado manual com SNMP de um dispositivo remoto

    Os exemplos de SNMP de dispositivo remoto neste documento usam comandos SNMP de um servidor Ubuntu Linux remoto. Os comandos e formatos específicos do SNMP dependem do dispositivo e do sistema operacional usados para executar os comandos do SNMP.

    docsBpi2CmtsCACertSubject
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

    docsBpi2CmtsCACertIssuer
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

    docsBpi2CmtsCACertSerialNumber
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

    docsBpi2CmtsCACertTrust
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

    docsBpi2CmtsCACertSource
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

    docsBpi2CmtsCACertStatus
    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

    Identificar a Data de Término da Validade do Certificado Manual no CLI

    Use o comando cBR-8 linecard CLI show crypto pki certificates para identificar a data de término da validade do certificado Manu Cert. Esta saída de comando não inclui o Índice de Certificação Manu. O número de série do certificado pode ser usado para correlacionar as informações do certificado Manu obtidas desse comando com as informações do certificado Manu obtidas do SNMP.

    CBR8-1#request platform software console attach

    request platform software console attach 6/0 
    #
    # Connecting to the CLC console on 6/0.
    # Enter Control-C to exit the console connection.
    #
    Slot-6-0>enable
    Slot-6-0#show crypto pki certificates

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
      Issuer:
         cn=CableLabs Root Certification Authority
         ou=Root CA01
         o=CableLabs
         c=US
       Subject: 
         cn=CableLabs Device Certification Authority
         ou=Device CA01
         o=CableLabs 
         c=US
      Validity Date: 
         start date: 00:00:00 GMT Oct 28 2014
         end   date: 23:59:59 GMT Oct 27 2049
      Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
      Certificate Usage: Signature
      Issuer: 
        cn=DOCSIS Cable Modem Root Certificate Authority
        ou=Cable Modems
        o=Data Over Cable Service Interface Specifications
        c=US
       Subject:
        cn=Motorola Corporation Cable Modem Root Certificate Authority
        ou=ASG
        ou=DOCSIS
        l=San Diego
        st=California
        o=Motorola Corporation
        c=US
       Validity Date: 
         start date: 00:00:00 GMT Jul 11 2001
         end   date: 23:59:59 GMT Jul 10 2021
      Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
      Certificate Usage: Signature
      Issuer:
        cn=CableLabs Root Certification Authority
        ou=Root CA01
        o=CableLabs
        c=US
       Subject: 
        cn=CableLabs Root Certification Authority
        ou=Root CA01
        o=CableLabs
        c=US
       Validity Date:
         start date: 00:00:00 GMT Oct 28 2014
         end   date: 23:59:59 GMT Oct 27 2064
       Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
      Certificate Usage: Signature
      Issuer:
         cn=Euro-DOCSIS Cable Modem Root CA
         ou=Cable Modems
         o=tComLabs - Euro-DOCSIS
         c=BE   Subject: 
         cn=Euro-DOCSIS Cable Modem Root CA 
         ou=Cable Modems
         o=tComLabs - Euro-DOCSIS
         c=BE
       Validity Date: 
        start date: 00:00:00 GMT Sep 21 2001
        end   date: 23:59:59 GMT Sep 20 2031
       Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

    CA Certificate
      Status: Available
      Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
       Certificate Usage: Signature
      Issuer: 
         cn=DOCSIS Cable Modem Root Certificate Authority
         ou=Cable Modems
         o=Data Over Cable Service Interface Specifications
         c=US
       Subject:
          cn=DOCSIS Cable Modem Root Certificate Authority
          ou=Cable Modems
          o=Data Over Cable Service Interface Specifications
          c=US
        Validity Date:
          start date: 00:00:00 GMT Feb 1 2001
          end   date: 23:59:59 GMT Jan 31 2031
       Associated Trustpoints: DOCSIS-US-TRUSTPOINT

    Definir o Estado Confiável do Certificado Manu como Confiável

    Os exemplos mostram que o estado de confiança mudou de encadeado para confiável para o Certificado Manu com Índice = 4 e Número de série = 437498f09a7dcbc1fa7aa101fe976e40

    OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 valores:

    1: confiável
    2: não confiável
    3: em cadeia
    4: root

    Este exemplo mostra o comando cBR-8 CLI snmp-set usado para alterar o estado de confiança

    CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
    SNMP Response: reqid 2305483, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

    Este exemplo mostra um dispositivo remoto que usa SNMP para alterar o estado de confiança

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

    Confirme as alterações de certificado manual com a CLI cBR-8 ou com SNMP

    • O valor de confiança mudou de encadeado para confiável
    • O valor de origem foi alterado para SNMP, o que indica que o certificado foi gerenciado pela última vez por SNMP e não pela Mensagem AuthInfo do Protocolo BPI

    Este exemplo mostra o comando cBR-8 CLI usado para confirmar as alterações

    CBR8-1#show cable privacy manufacturer-cert-list
    Cable Manufacturer Certificates:
    ...
    Index: 4
    Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
    Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
    State: Trusted
    Source: SNMP
    RowStatus: Active
    Serial:      437498F09A7DCBC1FA7AA101FE976E40
    Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
    Fingerprint: D41D8CD98F00B204E9800998ECF8427E
    ...

    Este exemplo mostra um dispositivo remoto que usa SNMP para confirmar as alterações

    jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

    jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

    Recuperar Serviço CM Depois que um Certificado Manual Conhecido Expirar

    Um Certificado Manu conhecido anteriormente é um certificado já presente no banco de dados cBR-8, geralmente como resultado de mensagens AuthInfo do registro CM anterior. Se um Certificado Manu não estiver marcado como confiável e expirar, qualquer CM que usar o Certificado Manu expirado e ficar offline não poderá se registrar novamente e estará marcado como reject(pk). Esta seção descreve como se recuperar dessa condição e permitir que CMs com certificados Manu expirados se registrem e permaneçam em serviço.

    Quando os CMs não ficam on-line e são marcados como reject(pk) como resultado de Certificados Manu expirados, uma mensagem de syslog é gerada e contém o Endereço MAC CM e o Número de Série do Certificado Manu expirado.

    Identifique o número de série do certificado do manual expirado na mensagem de registro cBR-8

    CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

    Identificar o Índice do Certificado Manu Expirado e Definir o Estado Confiável do Certificado Manu como Confiável

    Este exemplo mostra os comandos SNMP cBR-8 CLI usados para identificar o índice para o número de série do Certificado Manu da mensagem de log, que é usada para definir o estado confiável do Certificado Manu.

    CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
    SNMP Response: reqid 2351849, errstat 0, erridx 0 
    docsBpi2CmtsCACertSerialNumber.1 = 
    58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
    docsBpi2CmtsCACertSerialNumber.2 = 
    63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
    docsBpi2CmtsCACertSerialNumber.3 = 
    62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
    docsBpi2CmtsCACertSerialNumber.4 = 
    43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
    docsBpi2CmtsCACertSerialNumber.5 = 
    70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

    CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
    SNMP Response: reqid 2353143, errstat 0, erridx 0 
    docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

    Este exemplo mostra um dispositivo remoto que usa comandos SNMP para identificar o índice para o número de série do certificado Manu na mensagem de log, que é então usada para definir o estado confiável do certificado Manu.

    jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
    iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

    Instale um certificado de manual vencido desconhecido no cBR-8 e Mark Trusted

    Quando um certificado Manu expirado não é conhecido pela cBR-8, ele não pode ser gerenciado (marcado como confiável) antes da expiração e não pode ser recuperado. Isso acontece quando um CM que é anteriormente desconhecido e não registrado em um cBR-8 tenta registrar com um Certificado Manu desconhecido e expirado. O Cert Manu deve ser adicionado ao cBR-8 pelo SNMP de um dispositivo remoto ou use a configuração de interface de cabo cable privacy keep-failed-certificates cBR-8 para permitir que um Cert Manu expirado seja adicionado pelo AuthInfo. Os comandos cBR-8 CLI SNMP não podem ser usados para adicionar um certificado porque o número de caracteres nos dados do certificado excede o número máximo de caracteres aceitos pela CLI.  Se um certificado autoassinado for adicionado, o comando cable privacy accept-self-signed-certificate deverá ser configurado na interface do cabo cBR-8 antes que o cBR-8 possa aceitar o certificado. 

    Adicione um certificado Manu expirado ao cBR-8 com SNMP

    Use estes valores de OID docsBpi2CmtsCACertTable para adicionar o Certificado Manu como uma nova entrada de tabela. O valor hexadecimal do Certificado Manu definido pelo OID docsBpi2CmtsCACert pode ser aprendido com as etapas de Despejo de Certificado CA descritas no artigo de suporte Como Decodificar Certificado DOCSIS para Diagnóstico de Estado de Travamento de Modem.

    docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
    docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
    docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

    Use um número de índice exclusivo para o certificado Manu adicionado. Os índices dos certificados Manu já presentes no cBR-8 podem ser verificados com o comando show cable privacy manufaturer-cert-list.

    CBR8-2#show cable privacy manufacturer-cert-list | i Index
    Index: 4
    Index: 5
    Index: 6
    Index: 7

    Os exemplos nesta seção usam um valor de índice 11 para o Certificado Manu adicionado ao banco de dados cBR-8.

    Tip: Sempre defina os atributos CertStatus antes dos dados do certificado real. Caso contrário, o CMTS supõe que o certificado está encadeado e tenta imediatamente verificá-lo com os fabricantes e os certificados raiz.

    Alguns sistemas operacionais não podem aceitar linhas de entrada com o tempo necessário para inserir a cadeia de dados hexadecimal que especifica um certificado. Por esse motivo, um gerenciador SNMP gráfico pode ser usado para definir esses atributos. Para vários certificados, um arquivo de script pode ser usado, se for mais conveniente.

    Este exemplo mostra um dispositivo remoto que usa SNMP para adicionar um certificado de certificado Manu Cert à cBR-8. A maioria dos dados do certificado é omitida para legibilidade, indicada por reticências (...). 

    jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

    Permitir que um certificado de manual expirado seja adicionado por AuthInfo com um comando cBR-8 CLI

    Um Certificado Manu normalmente entra no banco de dados cBR-8 pela mensagem AuthInfo do Protocolo BPI enviada para o cBR-8 do CM. Cada certificado Manu exclusivo e válido recebido em uma mensagem AuthInfo é adicionado ao banco de dados. Se o certificado Manu for desconhecido para o CMTS (não no banco de dados) e tiver datas de validade expiradas, AuthInfo será rejeitado e o certificado Manu não será adicionado ao banco de dados cBR-8. Um certificado Manu expirado pode ser adicionado ao CMTS pela troca de AuthInfo quando a configuração de solução alternativa de certificados de retenção de privacidade de cabo estiver presente na configuração de interface de cabo cBR-8. Isso permite a adição do certificado Manu expirado ao banco de dados cBR-8 como não confiável. Para usar o certificado Manu expirado, o SNMP deve ser usado para marcá-lo como confiável. Quando o Certificado Manu expirado é adicionado ao cBR-8 e marcado como confiável, a remoção da configuração cable privacy keep-failed-certificates é recomendada para que outros certificados Manu potencialmente indesejados não entrem no sistema.

    CBR8-1#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#int Cable6/0/0
    CBR8-1(config-if)#cable privacy retain-failed-certificates
    CBR8-1(config-if)#end

    Permitir que certificados CM expirados e certificados Manu sejam adicionados por AuthInfo com um comando cBR-8 CLI

    Um certificado CM expirado pode ser adicionado ao CMTS pela troca AuthInfo quando os comandos cable privacy keep-failed-certificates e cable privacy skip-valid-period são configurados em cada interface de cabo relevante. Isso faz com que o cBR-8 ignore as verificações de data de validade expirada para TODOS os certificados CM e Manu enviados na mensagem CM BPI AuthInfo. Quando os certificados CM e Manu expirados são adicionados ao cBR-8 e marcados como confiáveis, a remoção da configuração descrita é recomendada para que os certificados adicionais, potencialmente indesejados, não entrem no sistema.

    CBR8-1#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#interface Cable6/0/0
    CBR8-1(config-if)#cable privacy retain-failed-certificates
    CBR8-1(config-if)#cable privacy skip-validity-period
    CBR8-1(config-if)#end
    CBR8-1#copy run start

    Informações adicionais

    Consideração de Configuração de Domínio MAC/Interface de Cabo

    Os comandos de configuração cable privacy keep-failed-certificates e cable privacy skip-valid-period são usados no nível de interface de cabo/domínio MAC e não são restritivos. O comando keep-failed-certificates pode adicionar qualquer certificado com falha ao banco de dados cBR-8 e o comando skip-valid-period pode ignorar as verificações de data de validade em todos os certificados Manu e CM.

    Consideração do tamanho do pacote SNMP

    Um get SNMP para dados Cert pode retornar um valor NULL se o OctetString Cert for maior que o tamanho do pacote SNMP. Uma configuração SNMP cBR-8 pode ser usada quando certificados de grande porte são usados;

    CBR8-1#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    CBR8-1(config)#snmp-server packetsize 3000
    CBR8-1(config)#end
    CBR8-1#copy run start

    Depuração Manu Cert

    A depuração Manu Cert no cBR-8 é suportada com os comandos debug cable privacy ca-cert e debug cable mac-address <CM mac-address>. Informações adicionais de depuração são explicadas no artigo de suporte Como decodificar o certificado DOCSIS para o diagnóstico de estado de travamento do modem. Isso inclui as etapas de despejo de certificado CA usadas para aprender o valor hexadecimal de um certificado Manu.

    Documentação de suporte relacionada

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    08-Dec-2021
    Adicione uma observação para o ID de bug da Cisco CSCvv21785. Pequenas alterações de formato.
    1.0
    30-Nov-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • TAC do Cisco CX
    • Unidade de negócios a cabo da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos