解决方法并恢复cBR-8上的过期制造商证书
下载选项
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
目录
简介
本文档介绍防止、解决和恢复有线调制解调器(CM)拒绝(pk)服务对cBR-8有线调制解调器终端系统(CMTS)产生的制造商证书(Manu Cert)到期影响的选项。
问题
在cBR-8上,CM停滞在reject(pk)状态的原因有很多。其中一个原因是Manu证书过期。Manu证书用于CM和CMTS之间的身份验证。在本文档中,Manu证书是DOCSIS 3.0安全规范CM-SP-SECv3.0所说的CableLabs Mfg CA证书或制造商CA证书。Expire表示cBR-8系统日期/时间超过Manu Cert有效性结束日期/时间。
在Manu证书到期后尝试向cBR-8注册的CM被CMTS标记为reject(pk),并且不在服务中。已在cBR-8中注册且在Manu证书到期时处于服务状态的CM可以保持服务状态,直到CM下次尝试注册时为止,这可以在单个CM脱机事件、cBR-8电缆线路卡重新启动、cBR-8重新加载或其他事件触发CM注册后发生。此时,CM身份验证失败,由cBR-8标记为reject(pk),并且不在服务中。
本文档中的信息对cBR-8产品公告中的电缆调制解调器和即将到期的制造商证书中发布的内容进行了扩展和重新格式化。
注意:Cisco Bug ID CSCvv21785;在Cisco IOS XE的某些版本中,此Bug会导致在cBR-8重新加载后受信任的Manu证书验证失败。在某些情况下,Manu证书存在,但不再处于受信任状态。在这种情况下,可通过本文档中描述的步骤将Manu Cert信任状态更改为可信。如果show cable privacy manufacturer-cert-list命令的输出中没有Manu Cert,则可以手动重新添加Manu Cert,也可以通过AuthInfo使用本文档中介绍的步骤重新添加Manu Cert。
Manu证书信息
可从远程设备通过cBR-8 CLI命令或简单网络管理协议(SNMP)命令查看手动证书信息。cBR-8 CLI还支持SNMP set、get和get-bulk命令。本文档中介绍的解决方案使用这些命令和信息。
Manu证书信息字段和属性
- 索引:分配给cBR-8数据库/MIB中每个Manu证书的唯一整数
- 主题: 主题名称与X509证书中编码的内容完全相同
- cn:公用名
- ou:组织单位
- o:组织
- l:位置
- s:StateOrProvinceName
- c:国家/地区名称
- 颁发机构:证书颁发机构
- 串行:以十六进制八位组字符串表示的证书序列号
- 状态:证书的信任状态
- 可信
- 不可信
- 链式
- 根
- 来源:证书如何到达CMTS
- snmp
- 配置文件
- externalDatabase
- other(其他)
- authentInfo
- compiledInfoCode
- 状态/行状态:证书状态
- 主用
- notInService
- 未就绪
- 创建并执行
- 创建并等待
- 销毁
- 证书:X509 DER编码的证书颁发机构证书
- 有效日期:定义相对于CMTS系统日期和时间的手动证书有效期的起始日期和终止日期
- 开始日期:Manu证书生效的日期和时间
- 终止日期:Manu证书不再有效的日期和时间
- 证书:X509 DER编码的证书颁发机构证书
- 指纹:CA证书的SHA-1散列
cBR-8 CLI命令
使用这些cBR-8 CLI命令可以查看手动证书信息。
- 从cBR-8 CLI执行模式或线路卡CLI执行模式:CBR8-1#show cable privacy manufacturer-cert-list
- 从cBR-8线路卡CLI执行模式:Slot-6-0#show crypto pki certificates
这些Cisco IOS® XE SNMP命令从cBR-8 CLI用于获取和设置SNMP OID。
这些cBR-8电缆接口配置命令用于本文档的解决方案部分所述的解决方法和恢复。
DOCSIS-BPI-PLUS-MIB OID
Manu Cert信息在docsBpi2CmtsCACertEntry OID branch 1.3.6.1.2.1.10.127.6.1.2.5.2.1中定义,如SNMP Object Navigator中所述。
相关SNMP OID
docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8
在命令示例中,省略号(...)表示为便于阅读,省略了一些信息。
解决方案
CM固件更新是最好的长期解决方案。本文档中介绍的解决方法允许具有过期的Manu证书的CM在cBR-8上注册并保持在线状态,但仅建议短期使用这些解决方法。如果CM固件更新不可行,那么CM更换策略从安全和运营角度而言是一个很好的长期解决方案。这里描述的解决方案可解决不同的条件或方案,可以单独使用,也可以相互结合使用;
注意:如果删除BPI,则会禁用加密和身份验证,从而最大限度地降低其作为解决方案的可行性。
更新CM固件
在许多情况下,CM制造商会提供CM固件更新,以延长Manu证书的有效结束日期。此解决方案是最佳选择,当在Manu证书到期之前执行时,可防止相关服务影响。CM加载新固件并使用新的Manu证书和CM证书重新注册。新证书可以正确进行身份验证,并且CM可以成功向cBR-8注册。新的Manu证书和CM证书可以创建一个新的证书链,重新创建到cBR-8中已安装的已知根证书。
将已知Manu证书设置为Trusted
当CM固件更新由于CM制造商停业而无法提供、不再支持CM模式等原因时,可以主动在cBR-8中标记已知、近期具有有效结束日期的Manu证书,使其在有效结束日期之前在cBR-8中受信任。cBR-8 CLI命令和SNMP用于识别Manu Cert信息(如序列号和信任状态),而SNMP用于将Manu Cert trust状态设置为cBR-8中的可信,从而允许关联的CM注册并保持服务。
当前在役和在线CM的已知Manu证书通常由cBR-8通过DOCSIS基线隐私接口(BPI)协议从CM获取。从CM发送到cBR-8的AuthInfo消息包含手动证书。每个唯一的Manu证书存储在cBR-8内存中,其信息可通过cBR-8 CLI命令和SNMP查看。
当Manu Cert标记为可信任时,会执行两项重要操作。首先,它允许cBR-8 BPI软件忽略过期的有效日期。其次,在cBR-8 NVRAM中将Manu证书存储为受信任证书。这在cBR-8重新加载中保留了Manu Cert状态,并消除了在cBR-8重新加载时重复此过程的需要。
CLI和SNMP命令示例演示如何识别手动证书索引、序列号和信任状态;然后使用该信息将信任状态更改为可信。示例重点介绍具有索引4和序列号437498F09A7DCBC1FA7AA101FE976E40的Manu证书。
从cBR-8 CLI查看Manu证书信息
在本示例中,使用cBR-8 CLI命令show cable privacy manufacturer-cert-list。
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B
Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial: 701F760559283586AC9B0E2666562F0E
Thumbprint: E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982
从cBR-8 CLI使用SNMP查看手动证书信息
在本示例中,使用cBR-8 CLI命令snmp get-bulk。证书索引4和5是存储在CMTS内存中的Manu证书。索引1、2和3是根证书。此处不考虑根证书,因为它们的到期日期要长得多。
docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS
docsBpi2CmtsCACertSubject.3 = CableLabs
docsBpi2CmtsCACertSubject.4 = Motorola
docsBpi2CmtsCACertSubject.5 = CableLabs
docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.1 = 4
docsBpi2CmtsCACertTrust.2 = 4
docsBpi2CmtsCACertTrust.3 = 4
docsBpi2CmtsCACertTrust.4 = 3 (3 = chained)
docsBpi2CmtsCACertTrust.5 = 3
docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0
docsBpi2CmtsCACertSource.1 = 4
docsBpi2CmtsCACertSource.2 = 4
docsBpi2CmtsCACertSource.3 = 4
docsBpi2CmtsCACertSource.4 = 5 (5 = authentInfo)
docsBpi2CmtsCACertSource.5 = 5
docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0
docsBpi2CmtsCACertStatus.1 = 1
docsBpi2CmtsCACertStatus.2 = 1
docsBpi2CmtsCACertStatus.3 = 1
docsBpi2CmtsCACertStatus.4 = 1 (1 = active)
docsBpi2CmtsCACertStatus.5 = 1
从远程设备使用SNMP查看手动证书信息
本文档中的远程设备SNMP示例使用来自远程Ubuntu Linux服务器的SNMP命令。具体的SNMP命令和格式取决于用于执行SNMP命令的设备和操作系统。
docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"
docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"
docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3 (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3
docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5 (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5
docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1 (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1
在CLI中确定Manu证书有效结束日期
使用cBR-8线路卡CLI命令show crypto pki certificates确定手动证书有效结束日期。此命令输出不包括手动证书索引。证书序列号可用于将从此命令获取的Manu证书信息与从SNMP获取的Manu证书信息相关联。
CBR8-1#request platform software console attach
request platform software console attach 6/0
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Device Certification Authority
ou=Device CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2049
Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23
CA Certificate
Status: Available
Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Motorola Corporation Cable Modem Root Certificate Authority
ou=ASG
ou=DOCSIS
l=San Diego
st=California
o=Motorola Corporation
c=US
Validity Date:
start date: 00:00:00 GMT Jul 11 2001
end date: 23:59:59 GMT Jul 10 2021
Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f
CA Certificate
Status: Available
Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
Certificate Usage: Signature
Issuer:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Subject:
cn=CableLabs Root Certification Authority
ou=Root CA01
o=CableLabs
c=US
Validity Date:
start date: 00:00:00 GMT Oct 28 2014
end date: 23:59:59 GMT Oct 27 2064
Associated Trustpoints: DOCSIS-D31-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
Certificate Usage: Signature
Issuer:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE Subject:
cn=Euro-DOCSIS Cable Modem Root CA
ou=Cable Modems
o=tComLabs - Euro-DOCSIS
c=BE
Validity Date:
start date: 00:00:00 GMT Sep 21 2001
end date: 23:59:59 GMT Sep 20 2031
Associated Trustpoints: DOCSIS-EU-TRUSTPOINT
CA Certificate
Status: Available
Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
Certificate Usage: Signature
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Validity Date:
start date: 00:00:00 GMT Feb 1 2001
end date: 23:59:59 GMT Jan 31 2031
Associated Trustpoints: DOCSIS-US-TRUSTPOINT
将Manu Cert Trust State设置为Trusted
示例显示,对于索引= 4且序列号= 437498f09a7dcbc1fa7aa101fe976e40的Manu证书,信任状态从链式更改为可信
OID:docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5值:
1:可信
2:不可信
3:链式
4:根
此示例显示用于更改信任状态的cBR-8 CLI snmp-set命令
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2305483, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
此示例显示远程设备使用SNMP更改信任状态
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
使用cBR-8 CLI或SNMP确认手动证书更改
- 信任值从链接更改为可信
- 源值更改为SNMP,表示证书上次由SNMP管理,而不是从BPI协议AuthInfo消息管理
此示例显示用于确认更改的cBR-8 CLI命令
CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 437498F09A7DCBC1FA7AA101FE976E40
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...
此示例显示远程设备使用SNMP确认更改
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1 (1 = snmp)
已知Manu证书到期后恢复CM服务
之前已知的Manu证书是cBR-8数据库中已经存在的证书,通常是由之前CM注册的AuthInfo消息造成的。如果Manu证书未标记为受信任和过期,则使用已过期的Manu证书并离线的CM将无法重新注册并标记为reject(pk)。 本节介绍如何从此条件中恢复,以及如何允许具有过期的Manu证书的CM注册和保持服务。
当CM无法联机并且由于过期的Manu证书而被标记为reject(pk)时,会生成一条系统日志消息,其中包含CM MAC地址和过期的Manu证书序列号。
从cBR-8日志消息中识别过期的Manu证书序列号
CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired
识别过期的Manu证书的索引并将Manu证书信任状态设置为“可信”
此示例显示用于从日志消息中标识手动证书序列号的索引的cBR-8 CLI SNMP命令,然后使用该命令将手动证书信任状态设置为可信。
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2351849, errstat 0, erridx 0
docsBpi2CmtsCACertSerialNumber.1 =
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
docsBpi2CmtsCACertSerialNumber.2 =
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
docsBpi2CmtsCACertSerialNumber.3 =
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61
docsBpi2CmtsCACertSerialNumber.4 =
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
docsBpi2CmtsCACertSerialNumber.5 =
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E
CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1
SNMP Response: reqid 2353143, errstat 0, erridx 0
docsBpi2CmtsCACertTrust.4 = 1 (1 = trusted)
此示例显示远程设备使用SNMP命令从日志消息中识别Manu Cert序列号的索引,然后使用该索引将Manu Cert trust状态设置为trusted。
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)
在cBR-8上安装未知过期的Manu证书并标记为受信任
当cBR-8不知道已过期的Manu证书时,该证书在到期前无法管理(标记为可信),也无法恢复。如果之前未知且未在cBR-8上注册的CM尝试注册未知且过期的Manu证书,则会发生这种情况。Manu证书必须通过SNMP从远程设备添加到cBR-8,或使用cable privacy retain-failed-certificates cBR-8电缆接口配置允许通过AuthInfo添加过期的手动证书。cBR-8 CLI SNMP命令无法用于添加证书,因为证书数据中的字符数超过CLI接受的最大字符数。 如果添加了自签名证书,则必须在cBR-8电缆接口下配置cable privacy accept-self-signed-certificate 命令,然后cBR-8才能接受证书。
使用SNMP向cBR-8添加到期的手动证书
使用这些docsBpi2CmtsCACertTable OID值将手动证书添加为新表条目。可以使用CA证书转储步骤(如支持文章如何解码DOCSIS证书以进行调制解调器停滞状态诊断)了解由docsBpi2CmtsCACert OID定义的Manu证书的十六进制值。
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)
为添加的Manu证书使用唯一的索引编号。可以使用show cable privacy manufacturer-cert-list命令检查cBR-8上已存在的Manu Certs的索引。
CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7
本部分的示例对添加到cBR-8数据库的Manu证书使用索引值11。
提示:始终在实际证书数据之前设置CertStatus属性。否则,CMTS会假定证书是链接的,并立即尝试向制造商和根证书进行验证。
某些操作系统无法接受指定证书的十六进制数据字符串输入所需的输入行。因此,可以使用图形SNMP管理器来设置这些属性。对于许多证书,如果更方便,可以使用脚本文件。
此示例显示远程设备使用SNMP向cBR-8添加手动证书证书。大多数证书数据已提交以供读取,以字母(...)表示。
jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1
允许通过AuthInfo使用cBR-8 CLI命令添加已过期的手动证书
Manu证书通常通过从CM发送到cBR-8的BPI协议AuthInfo消息进入cBR-8数据库。在AuthInfo消息中收到的每个唯一且有效的手动证书都将添加到数据库。如果Manu证书对CMTS(不在数据库中)未知且有效期已过期,则AuthInfo会被拒绝,并且Manu证书不会添加到cBR-8数据库。当cBR-8电缆接口配置下存在cable privacy retain-failed-certificates变通配置时,AuthInfo交换可以向CMTS添加过期的手动证书。这允许将过期的Manu证书添加至cBR-8数据库,使其成为不可信证书。要使用到期的Manu证书,必须使用SNMP将其标记为受信任。当过期的手动证书添加到cBR-8并标记为受信任时,建议删除cable privacy retain-failed-certificates配置,以便额外的、可能不需要的手动证书不会进入系统。
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end
允许通过AuthInfo使用cBR-8 CLI命令添加过期的CM证书和手动证书
当在每个相关电缆接口下配置cable privacy retain-failed-certificates和cable privacy skip-validity-period命令时,AuthInfo交换可以向CMTS添加过期的CM证书。这会导致cBR-8忽略在CM BPI AuthInfo消息中发送的所有CM和Manu证书的过期有效日期检查。将过期的CM和Manu证书添加到cBR-8并标记为受信任后,建议删除所述的配置,以便额外的、可能不需要的证书不会进入系统。
CBR8-1#config t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start
Additional Information
MAC域/电缆接口配置注意事项
cable privacy retain-failed-certificates和cable privacy skip-validity-period配置命令在MAC域/电缆接口级别使用,并且不受限制。retain-failed-certificates命令可以将任何失败的证书添加到cBR-8数据库中,而skip-validity-period命令可以跳过所有Manu和CM证书的有效日期检查。
SNMP数据包大小注意事项
如果Cert OctetString大于SNMP数据包大小,则Cert数据的SNMP get可以返回空值。使用大型证书时,可以使用cBR-8 SNMP配置;
CBR8-1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start
Manu证书调试
使用debug cable privacy ca-cert和debug cable mac-address <CM mac-address>命令支持cBR-8上的Manu Cert debug。有关其他调试信息,请参阅支持文章如何解码调制解调器停滞状态诊断的DOCSIS证书。这包括用于获取Manu证书的十六进制值的CA证书转储步骤。
相关支持文档
- 适用于Cisco CMTS路由器的DOCSIS 1.1提供有关cBR-8支持和配置DOCSIS基线隐私接口(BPI+)的其他信息。
- Cisco CMTS Cable Command Reference提供有关本文档中引用的cBR-8 CLI命令的信息。
- 在uBR10K上解决和恢复过期的制造商证书提供与uBR10K CMTS本文档类似的信息。
- 技术支持和文档 - Cisco Systems
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
08-Dec-2021
|
为Cisco Bug ID CSCvv21785添加注释。细微的格式更改。 |
1.0 |
30-Nov-2021
|
初始版本 |
反馈