الحل البديل لشهادات الشركة المصنعة المنتهية الصلاحية على cBR-8

المقدمة

يصف هذا المستند خيارات لمنع تأثيرات خدمة رفض (PK) مودم الكبل (CM) والتبديل والاسترداد منها على نظام توصيل مودم الكبل cBR-8 (CMTS) الذي ينتج عن انتهاء صلاحية شهادة الشركة المصنعة (Manu CERT).

المشكلة

هناك أسباب مختلفة ليصبح CM عالقا في حالة الرفض(pk) على cBR-8. أحد الأسباب هو انتهاء صلاحية وحدة مانو. يتم إستخدام شهادة MANU للمصادقة بين CM و CMTS. في هذا المستند، تشير شهادة MANU إلى مواصفات أمان DOCSIS 3.0 CM-SP-SECv3.0 على أنها شهادة CableLabs MFG CA أو شهادة CA للشركة المصنعة. تعني انتهاء الصلاحية أن تاريخ/وقت نظام cBR-8 يتجاوز تاريخ/وقت انتهاء صلاحية وحدة التحكم بالمجال Manu Cert.

يتم وضع علامة "رفض (pk)" على CM الذي يحاول التسجيل مع cBR-8 بعد انتهاء صلاحية شهادة Manu بواسطة CMTS ولا يكون في الخدمة. يمكن أن يبقى CM المسجل بالفعل مع cBR-8 وفي الخدمة عند انتهاء صلاحية وحدة التحكم MANU في الخدمة حتى المرة التالية التي يحاول فيها CM التسجيل، والتي يمكن أن تحدث بعد حدث واحد CM غير متصل، أو إعادة تشغيل بطاقة الخط cBR-8، أو إعادة تحميل cBR-8، أو أحداث أخرى تؤدي إلى تشغيل تسجيل CM. في ذلك الوقت يفشل CM في المصادقة، ويوضع عليه علامة رفض (pk) بواسطة cBR-8، ولا يكون في الخدمة.

تتسع المعلومات الواردة في هذا المستند إلى المحتوى المنشور في أجهزة مودم الكبلات وشهادات الجهة المصنعة التي تنتهي صلاحيتها في نشرة المنتج cBR-8.

ملاحظة: معرف تصحيح الأخطاء من Cisco CSCvv21785؛ في بعض إصدارات Cisco IOS XE، يتسبب هذا الخطأ في فشل التحقق من صحة شهادة الإدارة الموثوق بها بعد إعادة تحميل cBR-8. وفي بعض الحالات يكون مركز مانو حاضرا ولكنه لم يعد في الحالة الموثوقة. في هذه الحالة، يمكن تغيير حالة الثقة في وحدة التحكم بالمانو إلى "موثوق به" باستخدام الخطوات الموضحة في هذا المستند. إذا لم يكن شهادة Manu موجودا في إخراج الأمر show cable privacy manufacturer-cert-list، يمكن إعادة إضافة شهادة Manu يدويا أو بواسطة AuthInfo باستخدام الخطوات الموضحة في هذا المستند.

معلومات فريق مانو

يمكن عرض معلومات إختبار الاتصال عبر أوامر cBR-8 CLI أو أوامر بروتوكول إدارة الشبكة البسيط (SNMP) من جهاز بعيد. كما يدعم واجهة سطر الأوامر (CLI) cBR-8 مجموعة SNMP وأوامر الحصول على كميات كبيرة. يتم إستخدام هذه الأوامر والمعلومات بواسطة الحلول الموضحة في هذا المستند.

سمات وحقول معلومات شهادة Manu

• الفهرس: عدد صحيح فريد تم تعيينه لكل وحدة من وحدات التخزين بالمانيو في قاعدة بيانات cBR-8/قاعدة معلومات الإدارة (MIB)
• الموضوع اسم الموضوع بالضبط كما هو مشفر في شهادة X509
  
  • cn: CommonName
  • ش: الوحدة التنظيمية
  • س: المنظمة
  • ل: المكان
  • s: StateOrProvinceName
  • ج: CountryName
• المصدر: هيئة الشهادات
• تسلسلي: الرقم التسلسلي للعنصر ممثلا في سلسلة نظام ثماني سداسي عشر
• الحالة: حالة الضمان للشهادة
  
  • ائتمنتن
  • غير موثوق به
  • مكبل
  • جذر
• المصدر: كيفية وصول الشهادة إلى CMTS
  
  • snmp
  • configurationFile
  • قاعدة بيانات خارجية
  • غير ذلك
  • authentInfo
  • compiledInfoCode
• الحالة/حالة الصف: حالة الشهادة
  
  • نشط
  • غير InService
  • غير جاهز
  • createAndGo
  • كايتاند انتظروا
  • تدمير

• شهادة المرجع المصدق X509 DER المرمز
• تاريخ الصلاحية: تواريخ البدء والانتهاء التي تحدد فترة صلاحية وحدة التحكم بالمانيو بالنسبة إلى تاريخ ووقت نظام نظام نظام مراقبة المواد الكيميائية
  
  • تاريخ البدء: تاريخ ووقت سريان شهادة مانو
  • تاريخ الانتهاء: تاريخ ووقت توقف صلاحية وحدة معالجة المواد
• شهادة المرجع المصدق X509 DER المرمز
• بصمة الإبهام: تجزئة SHA-1 لشهادة CA

أوامر واجهة سطر الأوامر cBR-8

يمكن عرض معلومات إختبار الاتصال باستخدام أوامر واجهة سطر الأوامر (CLI) cBR-8 هذه.

• من وضع CLI EXEC cBR-8 أو وضع CLI EXEC لبطاقة Linecard: CBR8-1#show خصوصية الكبل الشركة المصنعة-cert-list
• من وضع CLI EXEC لبطاقة الخط cBR-8: slot-6-0#show crypto pki certificates

يتم إستخدام أوامر Cisco IOS® XE SNMP هذه من واجهة سطر الأوامر cBR-8 للحصول على معرفات SNMP وتثبيتها.

• الحصول على SNMP
• SNMP الحصول على كميات كبيرة
• مجموعة SNMP

يتم إستخدام أوامر تكوين واجهة الكبل cBR-8 هذه للحلول البديلة والاسترداد الموضحة في قسم الحل في هذا المستند.

• الاحتفاظ بخصوصية الكبل - الشهادات الفاشلة
• فترة صلاحية تخطي خصوصية الكبل

DOCSIS-BPI-plus-MIB OIDs

يتم تحديد معلومات التحقق من Manu في فرع معرف الإدخال/الإخراج (OID) docsBpi2CmtsCACertEntry 1.3.6.1.2.10.127.6.1.2.5.2.1، الموضح في متصفح كائن SNMP.

SNMP OIDs ذات الصلة

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

في أمثلة الأوامر، يشير الحذف (...) إلى حذف بعض المعلومات للقراءة.

الحل

يعد تحديث البرنامج الثابت CM أفضل حل على المدى البعيد. تسمح الحلول الموضحة في هذا المستند لسجلات التحكم في الوصول (CM) ذات قوائم التحكم في الوصول إلى الخادم (MANU) منتهية الصلاحية بالتسجيل والبقاء على الإنترنت مع معيار cBR-8، ولكن يوصى باستخدام هذه الحلول البديلة فقط على المدى القصير. إذا لم يكن تحديث البرنامج الثابت CM خيارا، فإن إستراتيجية إستبدال CM هي حل جيد على المدى الطويل من منظور الأمان والعمليات. وتتناول الحلول المبينة هنا ظروفا أو سيناريوهات مختلفة ويمكن إستخدامها منفردة أو بعضها، بالاقتران مع بعضها البعض؛

• تحديث البرنامج الثابت CM
• تعيين شهادة MANU معروفة إلى موثوق بها
• إسترداد خدمة CM بعد انتهاء صلاحية وحدة التحكم الإدارية المعروفة
• تثبيت وحدة تحكم MANU منتهية الصلاحية غير معروفة على cBR-8 ووضع علامة موثوق بها

• السماح بإضافة شهادات CM و MANU Certs منتهية الصلاحية بواسطة AuthInfo باستخدام أمر واجهة سطر الأوامر (CLI) cBR-8

ملاحظة: في حالة إزالة مؤشر BPI، يؤدي ذلك إلى تعطيل التشفير والمصادقة، مما يقلل من إمكانية تنفيذ ذلك كحل بديل إلى الحد الأدنى.

تحديث البرنامج الثابت CM

وفي كثير من الحالات، تقدم جهات تصنيع CM تحديثات للبرامج الثابتة CM التي تمدد تاريخ انتهاء صلاحية وحدة التحكم بالمخزون. ويعد هذا الحل هو الخيار الأفضل، كما أنه عند تنفيذه قبل انتهاء صلاحية وحدة معالجة الرسومات (MANU)، فإنه يعمل على منع آثار الخدمة ذات الصلة. يقوم قسم إدارة المحتوى (CMs) بتحميل البرنامج الثابت الجديد وإعادة تسجيله باستخدام وحدات تحكم MANU و CM الجديدة. يمكن أن تصادق الشهادات الجديدة بشكل صحيح، ويمكن أن تسجل CMs بنجاح مع cBR-8. يمكن لشهادة MANU الجديدة و CM إنشاء سلسلة شهادات جديدة من جديد إلى شهادة الجذر المعروفة المثبتة بالفعل في cBR-8.

تعيين شهادة MANU معروفة إلى موثوق بها

في حالة عدم توفر تحديث البرنامج الثابت CM بسبب توقف شركة CM عن العمل، وعدم وجود دعم إضافي لنموذج CM، وما إلى ذلك، يمكن وضع علامة إستباقية على وحدات التحكم MANU المعروفة مسبقا في cBR-8 مع تواريخ انتهاء الصلاحية في المستقبل القريب بثقة في cBR-8 قبل تاريخ انتهاء الصلاحية. يتم إستخدام أوامر واجهة سطر الأوامر (CLI) cBR-8 وبروتوكول إدارة شبكة الاتصال البسيط (SNMP) لتحديد معلومات وحدة التحكم المتعددة (Manu Cert) مثل الرقم التسلسلي وحالة الثقة، ويستخدم بروتوكول إدارة شبكة الاتصال البسيط (SNMP) لتعيين حالة ثقة وحدة التحكم بالمانو على موثوق بها في cBR-8، والذي يسمح لسجلات التحكم في الوصول (CMs) المرتبطة بالتسجيل والبقاء في الخدمة.

وعادة ما يتم التعرف على وحدات التحكم بالمانوية المعروفة الخاصة بوحدات CM الموجودة حاليا في الخدمة وعبر الإنترنت بواسطة cBR-8 من خلال CM من خلال بروتوكول واجهة الخصوصية لخط أساس DOCSIS (BPI). تحتوي رسالة AuthInfo المرسلة من CM إلى cBR-8 على شهادة MANU. يتم تخزين كل وحدة تخزين فريدة في ذاكرة cBR-8 ويمكن عرض المعلومات الخاصة بها بواسطة أوامر واجهة سطر الأوامر (CLI) cBR-8 وبروتوكول إدارة شبكة الاتصال البسيط (SNMP).

عندما يتم وضع علامة على MANU CERT كعنصر موثوق، فإن ذلك يؤدي إلى أمرين مهمين. أولا، يسمح هذا البرنامج لبرنامج cBR-8 BPI بتجاهل تاريخ الصلاحية الذي انتهت صلاحيته. وثانيا، يقوم بتخزين شهادة مانو كما هو موثوق به في ذاكرة الوصول العشوائي غير المتطايرة طراز cBR-8. وهذا يحافظ على حالة وحدة المعالجة المركزية (MANU) عبر إعادة تحميل cBR-8 ويقلل من الحاجة إلى تكرار هذا الإجراء في حالة إعادة تحميل cBR-8.

توضح أمثلة أوامر واجهة سطر الأوامر (CLI) و SNMP كيفية تعريف فهرس آلية Manu والرقم التسلسلي وحالة الثقة، ثم إستخدام تلك المعلومات لتغيير حالة الثقة إلى موثوق بها. تركز الأمثلة على شهادة Manu مع الفهرسة 4 والرقم التسلسلي 437498F09A7DCBC1FA7AA101FE976E40.

عرض معلومات تقييم وحدة التحكم من واجهة سطر الأوامر cBR-8

في هذا المثال، يتم إستخدام الأمر cBR-8 CLI show cable privacy manufacturer-cert-list.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

عرض معلومات التحقق البنفسجي باستخدام SNMP من واجهة سطر الأوامر cBR-8

في هذا المثال، يتم إستخدام أمر واجهة سطر الأوامر cBR-8 SNMP get-bulk. CERT Index 4 و 5 هي الشهادات التي تم تخزينها في ذاكرة CMTS. الفهارس 1 و 2 و 3 هي شهادات جذر. الشهادات الجذر ليست هي مصدر القلق هنا لأن تواريخ انتهاء صلاحيتها أطول بكثير. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

عرض معلومات إختبار الإدارة باستخدام SNMP (بروتوكول إدارة الشبكات البسيط) من جهاز بعيد

تستخدم أمثلة SNMP الخاصة بالجهاز البعيد في هذا المستند أوامر SNMP من خادم Ubuntu Linux عن بعد. تعتمد أوامر SNMP وتنسيقاتها الخاصة على الجهاز ونظام التشغيل المستخدم لتنفيذ أوامر SNMP.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

تحديد تاريخ انتهاء صلاحية وحدة التحكم بالمجال MANU في واجهة سطر الأوامر

أستخدم أمر واجهة سطر الأوامر (CLI) cBR-8 show crypto PKI certificates لتحديد تاريخ انتهاء صلاحية قائمة التحكم بالمخزون (MANU). لا يتضمن إخراج الأمر هذا فهرس آلية مانو. يمكن إستخدام الرقم التسلسلي للشهادات لربط معلومات شهادة MANU التي تم تعلمها من هذا الأمر بمعلومات شهادة MANU التي تم تعلمها من بروتوكول SNMP.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

تعيين حالة ثقة وحدة التحكم بالمجال MANU إلى موثوق بها

تظهر الأمثلة حالة الثقة التي تم تغييرها من السلسلة إلى الثقة ل Manu Cert مع الفهرس = 4 والرقم التسلسلي = 437498f09a7dcbc1fa7aa101fe976e40

OID: قيم docsBpi2CmtsCACertTrust 1.3.6.1.2.10.127.6.1.2.5.2.1.5:

1 : موثوق به
2 : غير موثوق به
3 : السلسلة
4 : الجذر

يوضح هذا المثال الأمر cBR-8 CLI SNMP-set المستخدم لتغيير حالة الثقة

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

يوضح هذا المثال جهازا عن بعد يستخدم SNMP لتغيير حالة الثقة

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

تأكيد تغييرات شهادة Manu باستخدام واجهة سطر الأوامر cBR-8 أو مع بروتوكول SNMP

• تم تغيير قيمة الثقة من السلسلة إلى الثقة
• تم تغيير قيمة المصدر إلى SNMP، وهو ما يشير إلى أن الشهادة تمت إدارتها آخر مرة بواسطة SNMP وليس من رسالة AuthInfo لبروتوكول BPI

يوضح هذا المثال أمر واجهة سطر الأوامر (CLI) cBR-8 المستخدم لتأكيد التغييرات

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

يوضح هذا المثال جهازا عن بعد يستخدم SNMP لتأكيد التغييرات

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

إسترداد خدمة CM بعد انتهاء صلاحية وحدة التحكم الإدارية المعروفة

شهادة Manu Cert المعروفة سابقا هي شهادة موجودة بالفعل في قاعدة بيانات cBR-8، وعادة ما تكون نتيجة لرسائل AuthInfo من تسجيل CM السابق. إذا لم يتم وضع علامة Manu Cert كعنصر موثوق به وانتهاء صلاحيته، لن يتمكن أي CM يستخدم وحدة التحكم Manu التي انتهت صلاحيتها ويعمل دون اتصال من إعادة التسجيل ويتم وضع علامة Reject(pk) عليه. يوضح هذا القسم كيفية الاسترداد من هذه الحالة والسماح ل CMs التي انتهت صلاحيتها لأجزاء مانو بالتسجيل والبقاء في الخدمة.

عند فشل CMs في الاتصال وتم وضع علامة "رفض(pk)" عليه كنتيجة لطلبات Manu منتهية الصلاحية، يتم إنشاء رسالة syslog وتحتوي على عنوان CM MAC والرقم التسلسلي لحاوية Manu منتهية الصلاحية.

التعرف على الرقم التسلسلي لوحدة تحكم مانو منتهية الصلاحية من رسالة سجل cBR-8

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

التعرف على فهرس وحدة تحكم MANU التي انتهت صلاحيتها وتعيين حالة الثقة في وحدة تحكم MANU إلى موثوق بها

يوضح هذا المثال أوامر SNMP الخاصة بواجهة سطر الأوامر cBR-8 المستخدمة لتعريف الفهرس الخاص بالرقم التسلسلي لمنفذ Manu من رسالة السجل، والتي يتم إستخدامها بعد ذلك لتعيين حالة ثقة مركز التحكم بالمخزون إلى موثوق بها.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

يوضح هذا المثال جهازا عن بعد يستخدم أوامر SNMP لتعريف الفهرس الخاص بالرقم التسلسلي لمنفذ Manu من رسالة السجل، والذي يتم إستخدامه بعد ذلك لتعيين حالة الثقة بمنفذ Manu إلى موثوق به.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

تثبيت وحدة تحكم MANU منتهية الصلاحية غير معروفة على cBR-8 ووضع علامة موثوق بها

عندما لا يكون فحص المانو منتهي الصلاحية معروفا لدى cBR-8، لا يمكن إدارته (وضع علامة عليه موثوق به) قبل انتهاء الصلاحية ولا يمكن إسترداده. يحدث ذلك عندما يحاول CM غير معروف سابقا وغير مسجل على cBR-8 التسجيل مع شهادة Manu Cert غير معروفة ومنتهية الصلاحية. يجب إضافة شهادة Manu إلى cBR-8 بواسطة SNMP من جهاز بعيد أو إستخدام تكوين واجهة كبل الاحتفاظ بخصوصية الكبل-الشهادات cBR-8 للسماح بإضافة شهادة Manu منتهية الصلاحية بواسطة AuthInfo. لا يمكن إستخدام أوامر cBR-8 CLI SNMP لإضافة شهادة لأن عدد الأحرف في بيانات الشهادة يتجاوز الحد الأقصى للحروف التي تم قبولها من قبل CLI.  إذا تمت إضافة شهادة موقعة ذاتيا، فيجب تكوين الأمر cable privacy accept-signed-certificate تحت واجهة كبل cBR-8 قبل أن يقبل cBR-8 الشهادة. 

إضافة شهادة مان منتهية الصلاحية إلى cBR-8 باستخدام SNMP

أستخدم قيم OID DOCSbpi2CmtsCACertTable هذه لإضافة Manu Cert كإدخال جدول جديد. يمكن التعرف على القيمة السداسية العشرية ل MANU Cert التي تم تعريفها بواسطة DOCSbpi2CmtsCACert OID باستخدام خطوات تفريغ شهادات CA الموضحة في مقالة الدعم كيفية فك تشفير شهادة DOCSIS لتشخيص حالة إعاقة المودم.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

أستخدم رقم فهرس فريد ل MANU CERT المضاف. يمكن التحقق من فهارس وحدات التحكم بالمجال (MANU CERTS) الموجودة بالفعل على cBR-8 باستخدام الأمر show cable privacy manufacturer-cert-list.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

تستخدم الأمثلة الواردة في هذا القسم قيمة فهرس مقدارها 11 ل Manu Cert التي تمت إضافتها إلى قاعدة بيانات cBR-8.

تلميح: تعيين سمات CertStatus دائما قبل بيانات الشهادة الفعلية. وإلا، فإن CMTS يفترض أن الشهادة موصولة بسلسلة ويحاول فورا التحقق منها مع المصنعين وشهادات الجذر.

يتعذر على بعض أنظمة التشغيل قبول بنود الإدخال التي طالما كانت مطلوبة لإدخال سلسلة البيانات السداسية العشرية التي تحدد ترخيصا. ولهذا السبب، يمكن إستخدام مدير SNMP رسومي لتعيين هذه السمات. لعدد من التراخيص، يمكن إستخدام ملف برنامج نصي، إذا كان أكثر ملائمة.

يوضح هذا المثال جهازا عن بعد يستخدم SNMP لإضافة شهادة شهادة شهادة MANU إلى cBR-8. يتم تقديم معظم بيانات الشهادة من أجل إمكانية القراءة، والمشار إليها بواسطة Elipses (...). 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

السماح بإضافة شهادة Manu منتهية الصلاحية بواسطة AuthInfo باستخدام أمر واجهة سطر الأوامر cBR-8

يدخل قسم Manu عادة قاعدة بيانات cBR-8 بواسطة رسالة AuthInfo لبروتوكول BPI التي يتم إرسالها إلى cBR-8 من CM. تتم إضافة كل وحدة تحكم مانو فريدة وصالحة يتم تلقيها في رسالة AuthInfo إلى قاعدة البيانات. إذا لم تكن وحدة التحكم "Manu Cert" معروفة ل CMTS (غير موجودة في قاعدة البيانات) وكانت تواريخ صلاحيتها منتهية الصلاحية، يتم رفض AuthInfo ولا تتم إضافة وحدة التحكم "Manu" إلى قاعدة بيانات cBR-8. يمكن إضافة وحدة تخزين متصلة منتهية الصلاحية إلى CMTS بواسطة تبادل AuthInfo عندما يكون تكوين الحل البديل لخصوصية الكبل مع الاحتفاظ بشهادات الفشل موجودا ضمن تكوين واجهة الكبل cBR-8. وهذا يسمح بإضافة شهادة Manu منتهية الصلاحية إلى قاعدة بيانات cBR-8 باعتبارها غير موثوق بها. لاستخدام شهادة Manu منتهية الصلاحية، يجب إستخدام SNMP لوضع علامة عليه موثوق. عند إضافة وحدة التحكم الطرفية منتهية الصلاحية إلى cBR-8 ووضع علامة موثوق بها، يوصى بإزالة تكوين الاحتفاظ بخصوصية الكبل بشهادات الفشل بحيث لا تدخل وحدات التحكم الطرفية الإضافية، والتي قد تكون غير مرغوب فيها، النظام.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

السماح بإضافة شهادات CM و MANU Certs منتهية الصلاحية بواسطة AuthInfo باستخدام أمر واجهة سطر الأوامر (CLI) cBR-8

يمكن إضافة شهادة CM منتهية الصلاحية إلى CMTS بواسطة تبادل AuthInfo عندما يتم تكوين كل من الأمرCable Privacy-Failed-Certificates والأمر Cable Privacy skip-Validity-Period ضمن كل واجهة كبل ذات صلة. وهذا يتسبب في تجاهل cBR-8 عمليات التحقق من تاريخ الصلاحية منتهية الصلاحية لجميع الشهادات CM و MANU المرسلة في رسالة AuthInfo الخاصة ب CM BPI.  عند إضافة قوائم التحكم في الوصول (CM) والشاشة (MANU) منتهية الصلاحية إلى cBR-8 ووضع علامة عليها موثوق، يوصى بإزالة التكوين الموصوف بحيث لا تدخل الفرق النظام نظرا لأنها قد تكون غير مرغوب فيها.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

معلومات إضافية

إعتبار تكوين واجهة الكبل/مجال MAC

يتم إستخدام أوامر التكوين keep-failed-certificates وخصوصية الكبل التي تتجاوز صلاحية-فترة التكوين في مستوى مجال MAC / واجهة الكبل ولا تكون تقييدية. يمكن أن يقوم الأمر retain-failed-certificates بإضافة أي شهادة فاشلة إلى قاعدة بيانات cBR-8 ويمكن أن يتخطى الأمر skip-validity-period تحقق من تاريخ الصلاحية على جميع الشهادات بالمانومتر و CM.

إعتبار حجم حزمة SNMP

يمكن أن يرجع الحصول على SNMP لبيانات CERT قيمة NULL إذا كانت سلسلة Cert الثماني أكبر من حجم حزمة SNMP. يمكن إستخدام تكوين cBR-8 SNMP عند إستخدام الشهادات كبيرة الحجم؛

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

تصحيح أخطاء شهادة Manu

يتم دعم تصحيح أخطاء Manu Cert على cBR-8 باستخدام أوامر <CM mac-address ل debug cable privacy ca-cert وdebug cable mac-address <CM. يتم شرح معلومات تصحيح أخطاء إضافية في مقالة الدعم كيفية فك ترميز شهادة DOCSIS لتشخيص حالة توقف المودم. ويتضمن ذلك خطوات تفريغ شهادات CA المستخدمة للتعرف على القيمة السداسي العشري لدالة MANU.

وثائق الدعم ذات الصلة

• توفر DOCSIS 1.1 لموجهات CMTS من Cisco معلومات إضافية حول دعم cBR-8 وتكوين واجهة خصوصية خط DOCSIS الأساسي (BPI+).
• يوفر مرجع أوامر كبل Cisco CMTS معلومات حول أوامر واجهة سطر الأوامر (CLI) cBR-8 المشار إليها في هذا المستند.
• يوفر Work Around and Recover Expired Manufacturer Manufacturer Certificates on uBR10K معلومات مماثلة مثل هذا المستند ل uBR10K CMTS.
• الدعم التقني والمستندات - Cisco Systems