Renouveler le certificat racine Umbrella pour la configuration basée sur les jetons

Options de téléchargement

  • PDF     (261.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (86.3 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (73.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 octobre 2024
ID du document:222481

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de renouvellement du certificat racine Umbrella lorsque l'enregistrement basé sur des jetons est utilisé pour les périphériques Cisco IOS® XE SD-WAN. 

    Prérequis

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Connaissances de base de l'infrastructure à clé publique (PKI).
    • Connaissance de la technologie SD-WAN de Cisco

    Ce flux de travail ne doit être utilisé que si vous utilisez l'enregistrement Umbrella basé sur des jetons. Si vous utilisez l'enregistrement basé sur l'API, les étapes mentionnées dans l'avis de champ FN74166 à suivre pour obtenir le certificat racine installé.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • C8000V version 17.6.6
    • vManage version 20.6.6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Fond

    Umbrella a renouvelé le certificat pour FQDN api.opendns.com à partir du 29 mai 2024 et le certificat a été signé par un nouveau DigiCert Global Root G2 root-ca. Si le périphérique Edge n'a pas ce root-ca présent dans la liste de certificats PKI et s'il utilise l'enregistrement Umbrella basé sur un jeton, l'enregistrement Umbrella va échouer. Le flux de travail de ce document explique comment installer l'autorité de certification racine sur le routeur Edge.

    Étapes à effectuer

    Vérifiez si le périphérique Edge dispose d'un enregistrement Umbrella basé sur des jetons. Voici à quoi ressemblerait la configuration.

    parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

    Autre configuration requise pour que le processus d'enregistrement du périphérique Edge démarre et pour qu'il prenne le certificat racine et le fasse installer.

    parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

    Sur le périphérique Edge, vérifiez si le certificat racine trustidrootx3_ca_092024.ca existe à l'emplacement /bootflash.

    cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

    Téléchargez ce certificat racine « DigiCert Global Root G2 » sur le périphérique Edge à l'emplacement /bootflash/sdwan avec le nom trustidrootx3_ca_092024.ca.

    -----BEGIN CERTIFICATE-----
MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
MjAeFw0xMzA4MDExMjAwMDBaFw0zODAxMTUxMjAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuzfNNNx7a8myaJCtSnX/RrohCgiN9RlUyfuI
2/Ou8jqJkTx65qsGGmvPrC3oXgkkRLpimn7Wo6h+4FR1IAWsULecYxpsMNzaHxmx
1x7e/dfgy5SDN67sH0NO3Xss0r0upS/kqbitOtSZpLYl6ZtrAGCSYP9PIUkY92eQ
q2EGnI/yuum06ZIya7XzV+hdG82MHauVBJVJ8zUtluNJbd134/tJS7SsVQepj5Wz
tCO7TG1F8PapspUwtP1MVYwnSlcUfIKdzXOS0xZKBgyMUNGPHgm+F6HmIcr9g+UQ
vIOlCsRnKPZzFBQ9RnbDhxSJITRNrw9FDKZJobq7nMWxM4MphQIDAQABo0IwQDAP
BgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBhjAdBgNVHQ4EFgQUTiJUIBiV
5uNu5g/6+rkS7QYXjzkwDQYJKoZIhvcNAQELBQADggEBAGBnKJRvDkhj6zHd6mcY
1Yl9PMWLSn/pvtsrF9+wX3N3KjITOYFnQoQj8kVnNeyIv/iPsGEMNKSuIEyExtv4
NeF22d+mQrvHRAiGfzZ0JFrabA0UWTW98kndth/Jsw1HKj2ZL7tcu7XUIOGZX1NG
Fdtom/DzMNU+MeKNhJ7jitralj41E6Vf8PlwUHBHQRFXGU7Aj64GxJUTFy8bJZ91
8rGOmaFvE7FBcf6IKshPECBV1/MUReXgRPTqh5Uykw7+U0b6LJ3/iyK5S9kJRaTe
pLiaWN0bfVKfjllDiIGknibVb63dDcY3fe0Dkhvld1927jyNxF1WW6LZZm6zNTfl
MrY=
-----END CERTIFICATE-----

    Déplacez l'ancien certificat racine sous /bootflash:trustidrootx3_ca_092024.ca vers /bootflash/sdwan en le renommant en trustidrootx3_ca_092024.ca.bkp.

    copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

    Supprimez le certificat racine trustidrootx3_ca_092024.ca de /bootflash.

    cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

    Déplacez le nouveau certificat racine trustidrootx3_ca_092024.ca sous /bootflash/sdwan vers /bootflash.

    copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

    Rechargez le périphérique Edge.

    Remarque : ce processus doit être suivi si vous disposez d'un enregistrement Umbrella basé sur des jetons. Si l'enregistrement basé sur l'API est utilisé, le processus indiqué dans l'avis de champ référencé dans ce document doit être suivi.

    Dépannage

    Ces débogages peuvent être activés sur le périphérique Edge pour voir si le nouveau certificat racine est en cours d'installation.

    cedge-ISR1100-4G#debug umbrella device-registration

    Pour voir les journaux, vous pouvez soit show logging ou vérifier le fichier IOSRP_R0 sous /tmp/rp/trace. Vous verriez ces journaux.

    Succès

    2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

    Échec

    2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

    Vérification

    Pour vérifier si le certificat est correctement installé sur le périphérique Edge, vous pouvez utiliser ces commandes.

    cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer
    cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    17-Oct-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Nilesh Jadhav
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits