토큰 기반 컨피그레이션을 위한 Umbrella 루트 인증서 갱신

소개

이 문서에서는 토큰 기반 등록이 Cisco IOS® XE SD-WAN 디바이스에 사용될 때 Umbrella 루트 인증서를 갱신하는 프로세스에 대해 설명합니다. 

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

• PKI(Public Key Infrastructure)에 대한 기본 지식
• Cisco SD-WAN 기술에 대한 지식

이 워크플로는 토큰 기반 Umbrella 등록을 사용하는 경우에만 사용됩니다. API 기반 등록을 사용하는 경우, Field Notice FN74166에 설명된 단계를 따라 루트 인증서를 설치합니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C8000V 버전 17.6.6
• vManage 버전 20.6.6

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경

Umbrella가 2024년 5월 29일부터 FQDN api.opendns.com에 대한 인증서를 갱신했으며 인증서가 새 root-ca DigiCert Global Root G2에 의해 서명되었습니다. Edge 장치에 PKI 인증서 목록에 이 root-ca가 없고 토큰 기반 Umbrella 등록을 사용하는 경우 Umbrella 등록이 실패합니다. 이 문서의 워크플로에서는 Edge 라우터에 root-ca를 설치하는 방법을 다룹니다.

수행 단계

Edge 장치에 토큰 기반 Umbrella 등록이 있는지 확인하십시오. 이것이 컨피그레이션의 모습입니다.

parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

Edge 디바이스 등록 프로세스를 시작하고 루트 인증서를 가져와 설치하는 데 필요한 기타 컨피그레이션입니다.

parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

에지 디바이스에서 루트 인증서 trustidrootx3_ca_092024.ca가 위치 /bootflash에 존재하는지 확인합니다.

cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

위치 /bootflash/sdwan의 Edge 디바이스에서 이 루트 인증서 "DigiCert Global Root G2"를 이름 trustidrootx3_ca_092024.ca로 다운로드합니다.

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

이전 루트 인증서의 이름을 trustidrootx3_ca_092024.ca.bkp로 변경하여 /bootflash:trustidrootx3_ca_092024.ca에서 /bootflash/sdwan으로 이동합니다.

copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

/bootflash에서 루트 인증서 trustidrootx3_ca_092024.ca를 삭제합니다.

cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

/bootflash/sdwan의 새 루트 인증서 trustidrootx3_ca_092024.ca를 /bootflash로 /bootflash.

copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

에지 디바이스를 다시 로드합니다.

참고: 토큰 기반 Umbrella 등록이 있는 경우 이 프로세스를 따라야 합니다. API 기반 등록을 사용하는 경우 이 문서에서 참조하는 필드 알림의 프로세스를 따라야 합니다.

문제 해결

이러한 디버그는 에지 디바이스에서 활성화하여 새 루트 인증서가 설치되는지 확인할 수 있습니다.

cedge-ISR1100-4G#debug umbrella device-registration

로그를 보려면 로깅을 표시하거나 /tmp/rp/trace의 IOSRP_R0 파일을 확인하십시오. 이러한 로그가 표시됩니다.

성공

2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

실패

2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

확인

인증서가 Edge 디바이스에 성공적으로 설치되었는지 확인하려면 다음 명령을 사용할 수 있습니다.

cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer

cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

관련 정보

• Cisco Umbrella 통합
• 기술 지원 및 문서 − Cisco Systems