Rinnova certificato radice Umbrella per configurazione basata su token

Opzioni per il download

  • PDF     (261.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (85.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (72.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 ottobre 2024
ID documento:222481

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive il processo di rinnovo del certificato radice Umbrella quando si utilizza la registrazione basata su token per i dispositivi Cisco IOS® XE SD-WAN. 

    Prerequisito

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base dell'infrastruttura a chiave pubblica (PKI).
    • Conoscenza della tecnologia Cisco SD-WAN

    Questo flusso di lavoro deve essere utilizzato solo se si utilizza la registrazione Umbrella basata su token. Se si utilizza la registrazione basata su API, seguire i passaggi indicati nella notifica sul campo FN74166 per installare il certificato radice.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • C800V versione 17.6.6
    • vManage versione 20.6.6

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Introduzione

    Umbrella ha rinnovato il certificato per FQDN api.opendns.com a partire dal 29 maggio 2024 e il certificato è stato firmato da una nuova radice-ca DigiCert Global Root G2. Se il dispositivo Edge non ha questa radice-ca presente nell'elenco di certificati PKI e utilizza la registrazione Umbrella basata su token, la registrazione Umbrella non riuscirà. Il flusso di lavoro in questo documento illustra come installare la CA radice sul router Edge.

    Passi da eseguire

    Verificare se il dispositivo Edge dispone di una registrazione Umbrella basata su token. Ecco l'aspetto della configurazione.

    parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

    Altra configurazione necessaria per l'avvio del processo di registrazione del dispositivo Edge e per il recupero e l'installazione del certificato radice.

    parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

    Sul dispositivo Edge verificare se il certificato radice trustidrootx3_ca_092024.ca esiste nel percorso /bootflash.

    cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

    Scaricare il certificato radice "DigiCert Global Root G2" sul dispositivo Edge all'indirizzo /bootflash/sdwan con il nome trustidrootx3_ca_092024.ca.

    -----BEGIN CERTIFICATE-----
MIIDjjCCAnagAwIBAgIQAzrx5qcRqaC7KGSxHQn65TANBgkqhkiG9w0BAQsFADBh
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3
d3cuZGlnaWNlcnQuY29tMSAwHgYDVQQDExdEaWdpQ2VydCBHbG9iYWwgUm9vdCBH
MjAeFw0xMzA4MDExMjAwMDBaFw0zODAxMTUxMjAwMDBaMGExCzAJBgNVBAYTAlVT
MRUwEwYDVQQKEwxEaWdpQ2VydCBJbmMxGTAXBgNVBAsTEHd3dy5kaWdpY2VydC5j
b20xIDAeBgNVBAMTF0RpZ2lDZXJ0IEdsb2JhbCBSb290IEcyMIIBIjANBgkqhkiG
9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuzfNNNx7a8myaJCtSnX/RrohCgiN9RlUyfuI
2/Ou8jqJkTx65qsGGmvPrC3oXgkkRLpimn7Wo6h+4FR1IAWsULecYxpsMNzaHxmx
1x7e/dfgy5SDN67sH0NO3Xss0r0upS/kqbitOtSZpLYl6ZtrAGCSYP9PIUkY92eQ
q2EGnI/yuum06ZIya7XzV+hdG82MHauVBJVJ8zUtluNJbd134/tJS7SsVQepj5Wz
tCO7TG1F8PapspUwtP1MVYwnSlcUfIKdzXOS0xZKBgyMUNGPHgm+F6HmIcr9g+UQ
vIOlCsRnKPZzFBQ9RnbDhxSJITRNrw9FDKZJobq7nMWxM4MphQIDAQABo0IwQDAP
BgNVHRMBAf8EBTADAQH/MA4GA1UdDwEB/wQEAwIBhjAdBgNVHQ4EFgQUTiJUIBiV
5uNu5g/6+rkS7QYXjzkwDQYJKoZIhvcNAQELBQADggEBAGBnKJRvDkhj6zHd6mcY
1Yl9PMWLSn/pvtsrF9+wX3N3KjITOYFnQoQj8kVnNeyIv/iPsGEMNKSuIEyExtv4
NeF22d+mQrvHRAiGfzZ0JFrabA0UWTW98kndth/Jsw1HKj2ZL7tcu7XUIOGZX1NG
Fdtom/DzMNU+MeKNhJ7jitralj41E6Vf8PlwUHBHQRFXGU7Aj64GxJUTFy8bJZ91
8rGOmaFvE7FBcf6IKshPECBV1/MUReXgRPTqh5Uykw7+U0b6LJ3/iyK5S9kJRaTe
pLiaWN0bfVKfjllDiIGknibVb63dDcY3fe0Dkhvld1927jyNxF1WW6LZZm6zNTfl
MrY=
-----END CERTIFICATE-----

    Spostare il vecchio certificato radice in /bootflash:trustidrootx3_ca_092024.ca in /bootflash/sdwan rinominandolo in trustidrootx3_ca_092024.ca.bkp.

    copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

    Eliminare il certificato radice trustidrootx3_ca_092024.ca da /bootflash.

    cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

    Spostare il nuovo certificato radice trustidrootx3_ca_092024.ca in /bootflash/sdwan a /bootflash.

    copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

    Riavviare il dispositivo Edge.

    Nota: se hai la registrazione Umbrella basata su token, devi seguire questo processo. Se si utilizza la registrazione basata sull'API, seguire il processo riportato nella notifica sul campo di cui al presente documento.

    Risoluzione dei problemi

    È possibile abilitare il debug sul dispositivo Edge per verificare se è in corso l'installazione del nuovo certificato radice.

    cedge-ISR1100-4G#debug umbrella device-registration

    Per visualizzare i log, è possibile visualizzare il log o controllare il file IOSRP_R0 in /tmp/rp/trace. Vedreste questi log.

    Riuscito

    2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

    Errore

    2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

    Verifica

    Per verificare se il certificato è stato installato correttamente sul dispositivo Edge, è possibile utilizzare questi comandi.

    cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer
    cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    17-Oct-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Nilesh Jadhav
      Cisco TAC Engineer

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti