トークンベースの構成のUmbrellaルート証明書の更新

はじめに

このドキュメントでは、Cisco IOS® XE SD-WANデバイスでトークンベースの登録を使用する場合に、Umbrellaルート証明書を更新するプロセスについて説明します。 

前提条件

要件

次の項目に関する知識があることが推奨されます。

• 公開キーインフラストラクチャ(PKI)の基礎知識。
• Cisco SD-WANテクノロジーの知識

このワークフローは、トークンベースのUmbrella登録を使用している場合にのみ使用されます。APIベースの登録を使用している場合は、Field Notice FN74166に記載されている手順に従ってルート証明書をインストールする必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• C8000Vバージョン17.6.6
• vManageバージョン20.6.6

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景

Umbrellaは2024年5月29日からFQDN api.opendns.comの証明書を更新し、証明書は新しいルートca DigiCert Global Root G2によって署名されました。エッジデバイスのPKI証明書リストにこのルートcaが存在せず、トークンベースのUmbrella登録を使用している場合、Umbrella登録は失敗します。このドキュメントのワークフローでは、エッジルータにルートcaをインストールする方法について説明します。

実行手順

エッジデバイスにトークンベースのUmbrella登録があるかどうかを確認してください。設定はこのように表示されます。

parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

エッジデバイス登録プロセスを開始し、ルート証明書を取得してインストールするために必要なその他の設定。

parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

エッジデバイスで、ルート証明書trustidrootx3_ca_092024.caが/bootflashに存在するかどうかを確認します。

cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

このルート証明書「DigiCert Global Root G2」をエッジデバイス(/bootflash/sdwan)にtrustidrootx3_ca_092024.caという名前でダウンロードします。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

/bootflash:trustidrootx3_ca_092024.caの下にある古いルート証明書の名前をtrustidrootx3_ca_092024.ca.bkpに変更し、/bootflash/sdwanに移動します。

copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

ルート証明書trustidrootx3_ca_092024.caを/bootflashから削除します。

cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

/bootflash/sdwanにある新しいルート証明書trustidrootx3_ca_092024.caを/bootflashに移動します。

copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

エッジデバイスをリロードします。

注：トークンベースのUmbrella登録がある場合は、このプロセスに従う必要があります。APIベースの登録を使用する場合は、このドキュメントで参照されているField Noticeのプロセスに従う必要があります。

トラブルシューティング

これらのデバッグをエッジデバイスで有効にして、新しいルート証明書がインストールされているかどうかを確認できます。

cedge-ISR1100-4G#debug umbrella device-registration

ログを確認するには、show loggingを実行するか、/tmp/rp/traceの下のファイルIOSRP_R0をチェックします。次のログが表示されます。

成功

2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

失敗

2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

検証

エッジデバイスに証明書が正常にインストールされたかどうかを確認するには、次のコマンドを使用します。

cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer

cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

関連情報

• Cisco Umbrellaの統合
• テクニカル サポートとドキュメント - Cisco Systems