Inleiding
Dit document beschrijft het proces om het Umbrella root-certificaat te verlengen wanneer op token gebaseerde registratie wordt gebruikt voor Cisco IOS® XE SD-WAN-apparaten.
Voorwaarde
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van Public Key Infrastructure (PKI).
- Kennis van Cisco SD-WAN technologie
Dit werkschema kan alleen worden gebruikt als u op token gebaseerde Umbrella registratie gebruikt. Als u API-gebaseerde registratie gebruikt, worden de stappen vermeld in de melding uit het veld FN74166 gevolgd om het basiscertificaat te installeren.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- C800V versie 17.6.6
- vManager versie 20.6.6
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrond
Umbrella vernieuwde het certificaat voor FQDN api.opendns.com vanaf 29-mei-2024 en het certificaat werd ondertekend door een nieuwe wortel-ca DigiCert Global Root G2. Als het Edge-apparaat deze wortel-ca niet in PKI-certificaatlijst heeft en als het gebruik maakt van op token gebaseerde Umbrella-registratie, zal de Umbrella-registratie mislukken. Het werkschema in dit document behandelt hoe te om wortel-ca op de router van de Rand te installeren.
Uit te voeren stappen
Controleer of het Edge-apparaat op token gebaseerde Umbrella-registratie heeft. Zo zou de configuratie eruit zien.
parameter-map type umbrella global
token 83F1YHF457592596A3D8CF52YHDFSDRD
Andere configuratie die vereist is voor het Edge-apparaatregistratieproces om het basiscertificaat te initiëren en te laten installeren.
parameter-map type umbrella global
vrf 10
dns-resolver umbrella >>>>required
ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload
interface GigabitEthernet0/0/0
ip dhcp client client-id ascii FGL233913F6
ip address 10.122.164.132 255.255.255.128
ip nat outside >>>>>
negotiation auto
end
Controleer op het Edge-apparaat of het basiscertificaat trustidrootx3_ca_092024.ca op locatie /bootflash bestaat.
cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca
Download dit basiscertificaat "DigiCert Global Root G2" op het Edge-apparaat op locatie /bootflash/sdwan met de naam trustidrootx3_ca_092024.ca.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Verplaats het oude root-certificaat onder /bootflash:trustidrootx3_ca_092024.ca naar /bootflash/sdwan door het te hernoemen naar trustidrootx3_ca_092024.ca.bkp.
copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp
Verwijdert het basiscertificaat trustidrootx3_ca_092024.ca uit /bootflash.
cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca
Verplaats het nieuwe basiscertificaat trustidrootx3_ca_092024.ca onder /bootflash/sdwan naar /bootflash.
copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:
Laad het Edge-apparaat opnieuw.
Opmerking: dit proces moet worden gevolgd als u een Umbrella-registratie op basis van token hebt. Indien API-gebaseerde registratie wordt gebruikt, moet de procedure in de melding uit het veld waarnaar in dit document wordt verwezen, worden gevolgd.
Probleemoplossing
Deze debug kan worden ingeschakeld op het Edge-apparaat om te zien of het nieuwe basiscertificaat wordt geïnstalleerd.
cedge-ISR1100-4G#debug umbrella device-registration
Om de logbestanden te zien kunt u logboekregistratie wel tonen of het bestand IOSRP_R0 onder /tmp/rp/trace controleren. Je zou deze logs zien.
Succes
2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info): *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully
Falen
2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn): *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed
Verificatie
Om te verifiëren of het certificaat met succes op het Edge-apparaat is geïnstalleerd, kunt u deze opdrachten gebruiken.
cedge-ISR1100-4G#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate Usage: Signature
Issuer:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Subject:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Validity Date:
start date: 12:00:00 UTC Aug 1 2013
end date: 12:00:00 UTC Jan 15 2038
Associated Trustpoints: trustidrootx3_ca_092024
Storage: nvram:DigiCertGlob#FAE5CA.cer
cedge-ISR1100-4G#show crypto pki trustpoints
Trustpoint SLA-TrustPoint:
Subject Name:
cn=Cisco Licensing Root CA
o=Cisco
Serial Number (hex): 01
Certificate configured.
Trustpoint trustidrootx3_ca_092024:
Subject Name:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate configured.
Gerelateerde informatie
Feedback