المقدمة
يصف هذا المستند عملية تجديد شهادة جذر Umbrella عند إستخدام التسجيل المستند إلى الرمز المميز لأجهزة Cisco IOS® XE SD-WAN.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية بالبنية الأساسية للمفتاح العام (PKI).
- معرفة تقنية SD-WAN من Cisco
يجب إستخدام سير العمل هذا فقط إذا كنت تستخدم تسجيل Umbrella المستند إلى الرمز المميز. في حالة إستخدام التسجيل المستند إلى واجهة برمجة التطبيقات (API)، يتم اتباع الخطوات المذكورة في إشعار ميداني FN74166 للحصول على الشهادة الجذر مثبتة.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C8000V، الإصدار 17.6.6
- vManage، الإصدار 20.6.6
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الخلفية
جددت Umbrella شهادة FQDN api.opendns.com بدءا من 29 مايو/أيار 2024، وتم توقيع الشهادة بواسطة DigiCert Global Root G2 جديد. إذا لم يكن لدى جهاز Edge هذه المرجع الجذري الموجود في قائمة شهادات PKI وإذا كان يستخدم تسجيل Umbrella المستند إلى الرمز المميز، فسيفشل تسجيل Umbrella. يغطي سير العمل في هذا المستند كيفية تثبيت المرجع المصدق الجذر على موجه Edge.
خطوات التنفيذ
الرجاء التحقق مما إذا كان جهاز Edge يحتوي على تسجيل Umbrella يستند إلى الرمز المميز. هذه هي الطريقة التي سيبدو بها التكوين.
parameter-map type umbrella global
token 83F1YHF457592596A3D8CF52YHDFSDRD
تهيئة أخرى مطلوبة لبدء عملية تسجيل جهاز Edge، وكذلك ليأخذ هذا الجهاز شهادة الجذر ويقوم بتثبيتها.
parameter-map type umbrella global
vrf 10
dns-resolver umbrella >>>>required
ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload
interface GigabitEthernet0/0/0
ip dhcp client client-id ascii FGL233913F6
ip address 10.122.164.132 255.255.255.128
ip nat outside >>>>>
negotiation auto
end
على جهاز الحافة تحقق ما إذا كان مرجع الشهادة الجذر tracedrootx3_ca_092024.ca موجود في الموقع /bootflash.
cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca
قم بتنزيل هذه الشهادة الجذر "DigiCert Global Root G2" على الجهاز الطرفي في في الموقع /bootflash/sdwan باسم trustidrootx3_ca_092024.ca.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
انقل الشهادة الجذر القديمة تحت /bootflash:trustidrootx3_ca_092024.ca إلى /bootflash/sdwan بإعادة تسميتها إلى trustidrootx3_ca_092024.ca.bkp.
copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp
احذف الشهادة الجذر tracedrootx3_ca_092024.ca من /bootflash.
cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca
انقل الشهادة الجذر الجديدة tracedrootx3_ca_092024.ca أسفل /bootflash/sdwan إلى /bootflash.
copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:
إعادة تحميل جهاز Edge.
ملاحظة: يلزم اتباع هذه العملية إذا كان لديك تسجيل Umbrella يستند إلى الرمز المميز. في حالة إستخدام التسجيل المستند إلى واجهة برمجة التطبيقات، تتم متابعة العملية في الإشعار الميداني المشار إليه في هذا المستند.
استكشاف الأخطاء وإصلاحها
يمكن تمكين تصحيح الأخطاء هذا على جهاز Edge لمعرفة ما إذا كانت شهادة الجذر الجديدة قد تم تثبيتها.
cedge-ISR1100-4G#debug umbrella device-registration
لرؤية السجلات، يمكنك إما إظهار التسجيل أو التحقق من الملف IOSRP_R0 أسفل /tmp/rp/trace. سترى هذه السجلات.
نجاح
2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info): *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully
فشل
2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn): *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed
التحقق
للتحقق من تثبيت الشهادة بنجاح على جهاز Edge، يمكنك إستخدام هذه الأوامر.
cedge-ISR1100-4G#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate Usage: Signature
Issuer:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Subject:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Validity Date:
start date: 12:00:00 UTC Aug 1 2013
end date: 12:00:00 UTC Jan 15 2038
Associated Trustpoints: trustidrootx3_ca_092024
Storage: nvram:DigiCertGlob#FAE5CA.cer
cedge-ISR1100-4G#show crypto pki trustpoints
Trustpoint SLA-TrustPoint:
Subject Name:
cn=Cisco Licensing Root CA
o=Cisco
Serial Number (hex): 01
Certificate configured.
Trustpoint trustidrootx3_ca_092024:
Subject Name:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate configured.
معلومات ذات صلة
التعليقات