Introducción
Este documento describe el proceso para renovar el certificado raíz de Umbrella cuando se utiliza el registro basado en token para los dispositivos Cisco IOS® XE SD-WAN.
Requisito previo
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conocimiento básico de la infraestructura de clave pública (PKI).
- Conocimiento de la tecnología SD-WAN de Cisco
Este flujo de trabajo solo se puede utilizar si se utiliza el registro de Umbrella basado en token. En caso de que esté utilizando el registro basado en API, se deben seguir los pasos mencionados en el aviso de campo FN74166 para instalar el certificado raíz.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- C8000V versión 17.6.6
- vManage versión 20.6.6
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Background
Umbrella renovó el certificado para FQDN api.opendns.com a partir del 29 de mayo de 2024 y el certificado fue firmado por una nueva raíz DigiCert Global Root G2. Si el dispositivo Edge no tiene esta raíz-ca presente en la lista de certificados PKI y si utiliza el registro Umbrella basado en token, el registro Umbrella fallará. El flujo de trabajo de este documento trata sobre cómo instalar la raíz-ca en el router Edge.
Pasos a seguir
Compruebe si el dispositivo Edge tiene un registro Umbrella basado en token. Así es como se vería la configuración.
parameter-map type umbrella global
token 83F1YHF457592596A3D8CF52YHDFSDRD
Otra configuración que se requiere para que el proceso de registro del dispositivo Edge se inicie y para que tome el certificado raíz y lo tenga instalado.
parameter-map type umbrella global
vrf 10
dns-resolver umbrella >>>>required
ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload
interface GigabitEthernet0/0/0
ip dhcp client client-id ascii FGL233913F6
ip address 10.122.164.132 255.255.255.128
ip nat outside >>>>>
negotiation auto
end
En el dispositivo Edge, verifique si el certificado raíz trustidrootx3_ca_092024.ca existe en la ubicación /bootflash.
cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca
Descargue este certificado raíz "DigiCert Global Root G2" en el dispositivo Edge en la ubicación /bootflash/sdwan con el nombre trustidrootx3_ca_092024.ca.
-----BEGIN CERTIFICATE-----
MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
MjAeFw0xMzA4MDExMjAwMDBaFw0zODAxMTUxMjAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuzfNNNx7a8myaJCtSnX/RrohCgiN9RlUyfuI
2/Ou8jqJkTx65qsGGmvPrC3oXgkkRLpimn7Wo6h+4FR1IAWsULecYxpsMNzaHxmx
1x7e/dfgy5SDN67sH0NO3Xss0r0upS/kqbitOtSZpLYl6ZtrAGCSYP9PIUkY92eQ
q2EGnI/yuum06ZIya7XzV+hdG82MHauVBJVJ8zUtluNJbd134/tJS7SsVQepj5Wz
tCO7TG1F8PapspUwtP1MVYwnSlcUfIKdzXOS0xZKBgyMUNGPHgm+F6HmIcr9g+UQ
vIOlCsRnKPZzFBQ9RnbDhxSJITRNrw9FDKZJobq7nMWxM4MphQIDAQABo0IwQDAP
BgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBhjAdBgNVHQ4EFgQUTiJUIBiV
5uNu5g/6+rkS7QYXjzkwDQYJKoZIhvcNAQELBQADggEBAGBnKJRvDkhj6zHd6mcY
1Yl9PMWLSn/pvtsrF9+wX3N3KjITOYFnQoQj8kVnNeyIv/iPsGEMNKSuIEyExtv4
NeF22d+mQrvHRAiGfzZ0JFrabA0UWTW98kndth/Jsw1HKj2ZL7tcu7XUIOGZX1NG
Fdtom/DzMNU+MeKNhJ7jitralj41E6Vf8PlwUHBHQRFXGU7Aj64GxJUTFy8bJZ91
8rGOmaFvE7FBcf6IKshPECBV1/MUReXgRPTqh5Uykw7+U0b6LJ3/iyK5S9kJRaTe
pLiaWN0bfVKfjllDiIGknibVb63dDcY3fe0Dkhvld1927jyNxF1WW6LZZm6zNTfl
MrY=
-----END CERTIFICATE-----
Mueva el antiguo certificado raíz bajo /bootflash:trustidrootx3_ca_092024.ca a /bootflash/sdwan renombrándolo a trustidrootx3_ca_092024.ca.bkp.
copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp
Elimine el certificado raíz trustidrootx3_ca_092024.ca de /bootflash.
cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca
Mueva el nuevo certificado raíz trustidrootx3_ca_092024.ca bajo /bootflash/sdwan a /bootflash.
copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:
Recargue el dispositivo Edge.
Nota: Este proceso debe seguirse si tiene un registro de Umbrella basado en token. En caso de que se utilice el registro basado en API, se debe seguir el proceso del aviso de campo al que se hace referencia en este documento.
Resolución de problemas
Estas depuraciones se pueden habilitar en el dispositivo perimetral para ver si se está instalando el nuevo certificado raíz.
cedge-ISR1100-4G#debug umbrella device-registration
Para ver los registros, puede hacer show logging o verificar el archivo IOSRP_R0 en /tmp/rp/trace. Verían estos registros.
Éxito
2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info): *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully
Falla
2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn): *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed
Verificación
Para comprobar si el certificado se ha instalado correctamente en el dispositivo perimetral, puede utilizar estos comandos.
cedge-ISR1100-4G#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate Usage: Signature
Issuer:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Subject:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Validity Date:
start date: 12:00:00 UTC Aug 1 2013
end date: 12:00:00 UTC Jan 15 2038
Associated Trustpoints: trustidrootx3_ca_092024
Storage: nvram:DigiCertGlob#FAE5CA.cer
cedge-ISR1100-4G#show crypto pki trustpoints
Trustpoint SLA-TrustPoint:
Subject Name:
cn=Cisco Licensing Root CA
o=Cisco
Serial Number (hex): 01
Certificate configured.
Trustpoint trustidrootx3_ca_092024:
Subject Name:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate configured.
Información Relacionada