Verlopen productiecertificaten voor Workround en Recover Fabrikant op cBR-8

Inleiding

In dit document worden opties beschreven om kabelmodemfuncties (CM) te voorkomen, aan te passen en te herstellen van kabelmodemgevolgen (PK) voor het cBR-8 Cable Modem Termination System (CMTS) als gevolg van het verlopen van Fabrikant (Manu Cert).

Probleem

Er zijn verschillende oorzaken voor het vasthouden van een CM in de ‘ wijzers’ (pk)-status op cBR-8. Een oorzaak is het verlopen van de Manu Cert. De Manu Cert wordt gebruikt voor authenticatie tussen een CM en CMTS. In dit document is een Manu Cert wat de DOCSIS 3.0 Security Specification CM-SP-SECv3.0 refereert aan het CableLabs Mfg CA-certificaat of het CA-certificaat van de fabrikant. Verlopen betekent dat de cBR-8 systeemdatum/tijd de einddatum/tijd van de Manu Cert-geldigheid overschrijdt.

Een CM die probeert zich te registreren bij cBR-8 nadat de Manu Cert is verlopen, is gemarkeerd met afwijzing (pk) door de CMTS en is niet in gebruik. Een CM die reeds bij cBR-8 is geregistreerd en in gebruik is wanneer de Manu Cert vervalt, kan in gebruik blijven tot de volgende keer dat de CM probeert te registreren, die kan plaatsvinden na één CM offline-gebeurtenis, cBR-8 Cable Linecard-herstart, cBR-8 herlading of andere gebeurtenis zorgt voor de inschrijving van CM. Op dat moment faalt de echtheidscontrole van het CM-systeem, wordt de cBR-8 gemarkeerd met afwijzing (pk) en is het niet in gebruik.

De informatie in dit document breidt de inhoud die in de kabelmodems is gepubliceerd uit en herstelt deze in een cBR-8 productbericht met certificaten die door de fabrikant zijn afgelopen.

Opmerking: Cisco bug-ID CSCv21785; In sommige versies van Cisco IOS XE, veroorzaakt dit bug een vertrouwde Manu Cert om validatie na een cBR-8 herlading te falen. In sommige gevallen is de Manu Cert aanwezig, maar niet langer in de vertrouwde staat. In dat geval kan de vertrouwenstatus van de Koude Oorlog worden gewijzigd in vertrouwen met de stappen die in dit document worden beschreven. Als de Manu Cert niet aanwezig is in de uitvoer van de opdracht van de fabrikant van de showkabelprivacy-cert-list, kan de Manu Cert handmatig of door AuthInfo opnieuw worden toegevoegd met stappen die in dit document worden beschreven.

Informatie over communicatiemiddelen van Manu

U kunt de informatie over het programma beheren via cBR-8 CLI-opdrachten of SNMP-opdrachten (Simple Network Management Protocol) van een extern apparaat. cBR-8 CLI ondersteunt ook de SNMP-set, get en get-bulk opdrachten. Deze opdrachten en informatie worden gebruikt door oplossingen die in dit document worden beschreven.

Manu Cert-informatievelden en -kenmerken

• Index: Een uniek integer toegewezen aan elke Manu Cert in de cBR-8 database/MIB
• Onderwerp:  De naam van het onderwerp precies zoals het in het X509-certificaat is gecodeerd
  
  • n.: Algemene naam
  • U: Organisatorische eenheid
  • o: Organisatie
  • l: Locatie
  • s: StateorProvinceName
  • c: Landnaam
• Afgever: De certificeringsinstantie
• Serieel: Cert Serienummer weergegeven in een hexadecimale octet string
• Staat: De vertrouwensstatus van het certificaat
  
  • vertrouwd
  • onbetrouwbaar
  • geketend
  • wortel
• Bron: Hoe het certificaat de CMTS bereikte
  
  • verklikken
  • configuratiebestand
  • externe database
  • Other (Overig)
  • auteurInfo
  • verzameldeInfoCode
• Status/RowStatus: Status weergeven
  
  • actief
  • nietIn service
  • NietKlaar
  • aanmakenGo
  • aanmaken en wachten
  • vernietigen

• Cert: Het certificaat van de autoriteit die het certificaat onder code heeft
• Geldigheidsdatum: De begin- en einddatums die de manu Cert-geldigheidsperiode met betrekking tot de CMTS-systeemdatum en -tijd definiëren
  
  • startdatum: De datum en het tijdstip waarop de Manu Cert geldig wordt
  • einddatum : De datum en het tijdstip waarop de Manu Cert niet langer geldig is
• Cert: Het certificaat van de autoriteit die het certificaat onder code heeft
• Thumbprint: De SHA-1 hash van een CA-certificaat

cBR-8 CLI-opdrachten

U kunt de informatie van Manu Cert met deze cBR-8 CLI opdrachten bekijken.

• Van cBR-8 CLI exec-modus of Linecard CLI exec-modus: CBR8-1#show kabelprivacy-fabrikant-cert-lijst
• Van cBR-8 Linecard CLI exec-modus: Sleuf-6-0#show cryptografische kaarten

Deze Cisco IOS® XE SNMP opdrachten worden gebruikt van de cBR-8 CLI om SNMP OID’s te verkrijgen en in te stellen.

• weggevertje
• snmp get
• set

Deze cBR-8 opdrachten voor de configuratie van de kabelinterface worden gebruikt voor de uitvoering van werk en voor het herstel dat in het gedeelte Oplossing van dit document wordt beschreven.

• bewaren van kabelprivacy door middel van een defect certificaat
• skip-geldigheidsduur van kabelprivacy

DOCSIS-BPI-PLUS-MIB OID’s

De informatie van Manu Cert wordt gedefinieerd in docsBpi2CMTSCACertEntry OID tak 1.3.6.1.2.1.10.127.6.1.2.5.2.1, beschreven in de SNMP Object Navigator.

Relevante SNMP-id’s

docsBpi2CmtsCACertSubject 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
docsBpi2CmtsCACertSource 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8

In opdrachtvoorbeelden geeft ellips (...) aan dat bepaalde informatie is weggelaten voor leesbaarheid.

Oplossing

CM firmware update is de beste langetermijnoplossing. De in dit document beschreven zorgpunten staan CM's met verlopen Manu Certs toe om zich te registreren en online te blijven bij cBR-8, maar deze werkronden worden alleen aanbevolen voor kortetermijngebruik. Als een CM firmware-update geen optie is, is een CM-vervangingsstrategie een goede oplossing op lange termijn vanuit het oogpunt van beveiliging en werking. De hier beschreven oplossingen hebben betrekking op verschillende omstandigheden of scenario's en kunnen afzonderlijk of, sommige, in combinatie met elkaar worden gebruikt;

• CM-firmware bijwerken
• Een gekend Manu Cert op Trusted instellen
• CM-service herstellen nadat een bekende Manu-schijf is verlopen
• Installeer een onbekende Verlopen Manu Cert op cBR-8 en Mark Trusted

• Verlopen CM-certificering en Manu-certificering voor authInfo met cBR-8 CLI-opdracht

Opmerking: Als BPI wordt verwijderd, is encryptie en authenticatie hierdoor onmogelijk, waardoor de levensvatbaarheid van dat systeem als een werkweg wordt geminimaliseerd.

CM-firmware bijwerken

In veel gevallen bieden CM-fabrikanten CM-firmware-updates die de geldigheidsduur van de Manu Cert verlengen. Deze oplossing is de beste optie en voorkomt, als deze wordt uitgevoerd voordat een Manu Cert afloopt, gerelateerde effecten op de service. CM's laden de nieuwe firmware en registreren met nieuwe Manu Certs en CM Certs. De nieuwe certificaten kunnen een echte authenticatie krijgen en de CM's kunnen zich met succes registreren met cBR-8. De nieuwe Manu Cert en CM Cert kunnen een nieuwe certificeringsketen maken die teruggaat naar het bekende Root Certificate dat al is geïnstalleerd in cBR-8.

Een gekend Manu Cert op Trusted instellen

Wanneer een CM firmware-update niet beschikbaar is als gevolg van een CM-fabrikant die niet meer actief is, kan geen verdere ondersteuning voor een CM-model meer, enzovoort, Manu Certs die al bekend zijn op cBR-8 met geldigheideinddatums in de nabije toekomst proactief worden gemarkeerd met de cBR-8 vóór de geldigheideinddatum. De cBR-8 CLI-opdrachten en SNMP worden gebruikt om belangrijke informatie zoals het serienummer en de vertrouwde status te herkennen en SNMP wordt gebruikt om de vertrouwenstatus van de Manu Cert in te stellen op een vertrouwde toestand in cBR-8, waarmee gekoppelde CM's kunnen worden geregistreerd en in gebruik kunnen blijven.

Bekende Manu-certificaten voor momenteel in gebruik zijnde en online CM's worden doorgaans door cBR-8 van een CM geleerd via het DOCSIS Privacy Interface (BPI)-protocol. Het AuthInfo bericht van de CM naar cBR-8 bevat de Manu Cert. Elke unieke Manu Cert wordt opgeslagen in cBR-8 geheugen en de informatie ervan kan worden bekeken door cBR-8 CLI opdrachten en SNMP.

Wanneer de Manu Cert is gemarkeerd als vertrouwd, dan doet dat twee belangrijke dingen. Ten eerste staat het de cBR-8 BPI-software toe om de verlopen geldigheidsdatum te negeren. Ten tweede slaat het de Manu Cert op zoals vertrouwd in cBR-8 NVRAM. Dit bewaart de status Manu Cert in een cBR-8-herlading en maakt het overbodig om deze procedure te herhalen in het geval van een cBR-8-herlading.

De CLI- en SNMP-opdrachtvoorbeelden tonen hoe een Manu Cert-index, serienummer en vertrouwensstaat moeten worden geïdentificeerd; gebruik die informatie dan om de vertrouwensstaat in vertrouwen te veranderen. De voorbeelden zijn gericht op de Manu Cert met Index 4 en serienummer 437498F09A7DCBC1FA7AA101FE976E40.

Bekijk de Manu Cert-informatie van cBR-8 CLI

In dit voorbeeld wordt de cBR-8 CLI-opdracht getoond om de kabelprivacy fabrikant-cert-list te tonen.

CBR8-1#show cable privacy manufacturer-cert-list

Cable Manufacturer Certificates:

Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  FA07609998FDCAFA8F80D87F1ACFC70E6C52C80F
Fingerprint: 0EABDBD19D8898CA9C720545913AB93B

Index: 5
Issuer: cn=CableLabs Root Certification Authority,ou=Root CA01,o=CableLabs,c=US
Subject: cn=CableLabs Device Certification Authority,ou=Device CA01,o=CableLabs,c=US
State: Chained
Source: Auth Info
RowStatus: Active
Serial:      701F760559283586AC9B0E2666562F0E
Thumbprint:  E85319D1E66A8B5B2BF7E5A7C1EF654E58C78D23
Fingerprint: 15C18A9D6584D40E88D50D2FF4936982 

Bekijk Manu Cert Information met SNMP vanuit cBR-8 CLI

In dit voorbeeld wordt de cBR-8 CLI opdracht snmp get-bulk gebruikt. Cert India 4 & 5 zijn de Manu Certs opgeslagen in het CMTS geheugen. De indexcijfers 1, 2 en 3 zijn basiscertificaten. Root Certificaten zijn hier niet van belang, aangezien hun vervaldata veel langer zijn. 

docsBpi2CmtsCACertSubject
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
SNMP Response: reqid 1752673, errstat 0, erridx 0 
docsBpi2CmtsCACertSubject.1 = Data Over Cable Service Interface Specifications 
docsBpi2CmtsCACertSubject.2 = tComLabs - Euro-DOCSIS 
docsBpi2CmtsCACertSubject.3 = CableLabs 
docsBpi2CmtsCACertSubject.4 = Motorola 
docsBpi2CmtsCACertSubject.5 = CableLabs

docsBpi2CmtsCACertIssuer
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
SNMP Response: reqid 1752746, errstat 0, erridx 0 
docsBpi2CmtsCACertIssuer.1 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.2 = Euro-DOCSIS Cable Modem Root CA 
docsBpi2CmtsCACertIssuer.3 = CableLabs Root Certification Authority 
docsBpi2CmtsCACertIssuer.4 = DOCSIS Cable Modem Root Certificate Authority 
docsBpi2CmtsCACertIssuer.5 = CableLabs Root Certification Authority

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
SNMP Response: reqid 2300780, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
SNMP Response: reqid 1752778, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.1 = 4 
docsBpi2CmtsCACertTrust.2 = 4 
docsBpi2CmtsCACertTrust.3 = 4 
docsBpi2CmtsCACertTrust.4 = 3    (3 = chained) 
docsBpi2CmtsCACertTrust.5 = 3

docsBpi2CmtsCACertSource
CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
SNMP Response: reqid 1752791, errstat 0, erridx 0 
docsBpi2CmtsCACertSource.1 = 4 
docsBpi2CmtsCACertSource.2 = 4 
docsBpi2CmtsCACertSource.3 = 4 
docsBpi2CmtsCACertSource.4 = 5   (5 = authentInfo) 
docsBpi2CmtsCACertSource.5 = 5

docsBpi2CmtsCACertStatus
CBR8-1#snmp get-bulk v2c 10.122.151.12 vrf Mgmt-intf Cisco123 non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
SNMP Response: reqid 1752804, errstat 0, erridx 0 
docsBpi2CmtsCACertStatus.1 = 1 
docsBpi2CmtsCACertStatus.2 = 1 
docsBpi2CmtsCACertStatus.3 = 1 
docsBpi2CmtsCACertStatus.4 = 1   (1 = active)
docsBpi2CmtsCACertStatus.5 = 1

Bekijk Manu Cert Information met SNMP vanaf een afstandsapparaat

De voorbeelden van SNMP op afstand in dit document gebruiken SNMP-opdrachten van een externe Ubuntu Linux-server. De specifieke SNMP-opdrachten en -formaten zijn afhankelijk van het apparaat en het besturingssysteem dat wordt gebruikt om de SNMP-opdrachten uit te voeren.

docsBpi2CmtsCACertSubject
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.2
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.3 = STRING: "CableLabs"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.4 = STRING: "Motorola Corporation"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.2.5 = STRING: "CableLabs"

docsBpi2CmtsCACertIssuer
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.3
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.3 = STRING: "CableLabs Root Certification Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.3.5 = STRING: "CableLabs Root Certification Authority"

docsBpi2CmtsCACertSerialNumber
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.3 = Hex-STRING: 62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.5 = Hex-STRING: 70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E

docsBpi2CmtsCACertTrust
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 3   (3 = chained)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.5 = INTEGER: 3

docsBpi2CmtsCACertSource
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.1 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.2 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.3 = INTEGER: 4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 5   (5 = authentInfo)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.5 = INTEGER: 5

docsBpi2CmtsCACertStatus
jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.1 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.2 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.3 = INTEGER: 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.4 = INTEGER: 1   (1 = active)
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.7.5 = INTEGER: 1

Identificeer de Manu Cert Geldigheid Einddatum in CLI

Gebruik de cBR-8 linecard CLI opdracht om cryptografische kaarten te tonen om de geldigheid van de Manu Cert datum te identificeren. Deze opdrachtoutput bevat niet de Manu Cert Index. Het serienummer van het certificaat kan worden gebruikt om Manu Cert-informatie die van deze opdracht is geleerd, te correleren met de informatie van de Manu Cert die van SNMP wordt geleerd.

CBR8-1#request platform software console attach

request platform software console attach 6/0 
#
# Connecting to the CLC console on 6/0.
# Enter Control-C to exit the console connection.
#
Slot-6-0>enable
Slot-6-0#show crypto pki certificates

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 701F760559283586AC9B0E2666562F0E   Certificate Usage: Signature
  Issuer:
     cn=CableLabs Root Certification Authority
     ou=Root CA01
     o=CableLabs
     c=US
   Subject: 
     cn=CableLabs Device Certification Authority
     ou=Device CA01
     o=CableLabs 
     c=US
  Validity Date: 
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2049
  Associated Trustpoints: e85319d1e66a8b5b2bf7e5a7c1ef654e58c78d23  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 437498F09A7DCBC1FA7AA101FE976E40
  Certificate Usage: Signature
  Issuer: 
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
   Subject:
    cn=Motorola Corporation Cable Modem Root Certificate Authority
    ou=ASG
    ou=DOCSIS
    l=San Diego
    st=California
    o=Motorola Corporation
    c=US
   Validity Date: 
     start date: 00:00:00 GMT Jul 11 2001
     end   date: 23:59:59 GMT Jul 10 2021
  Associated Trustpoints: fa07609998fdcafa8f80d87f1acfc70e6c52c80f

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 629748CAC0A60DCBD0FFA89140D8D761
  Certificate Usage: Signature
  Issuer:
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Subject: 
    cn=CableLabs Root Certification Authority
    ou=Root CA01
    o=CableLabs
    c=US
   Validity Date:
     start date: 00:00:00 GMT Oct 28 2014
     end   date: 23:59:59 GMT Oct 27 2064
   Associated Trustpoints: DOCSIS-D31-TRUSTPOINT 

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 634B5963790E810F3B5445B3714CF12C
  Certificate Usage: Signature
  Issuer:
     cn=Euro-DOCSIS Cable Modem Root CA
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE   Subject: 
     cn=Euro-DOCSIS Cable Modem Root CA 
     ou=Cable Modems
     o=tComLabs - Euro-DOCSIS
     c=BE
   Validity Date: 
    start date: 00:00:00 GMT Sep 21 2001
    end   date: 23:59:59 GMT Sep 20 2031
   Associated Trustpoints: DOCSIS-EU-TRUSTPOINT  

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 5853648728A44DC0335F0CDB33849C19
   Certificate Usage: Signature
  Issuer: 
     cn=DOCSIS Cable Modem Root Certificate Authority
     ou=Cable Modems
     o=Data Over Cable Service Interface Specifications
     c=US
   Subject:
      cn=DOCSIS Cable Modem Root Certificate Authority
      ou=Cable Modems
      o=Data Over Cable Service Interface Specifications
      c=US
    Validity Date:
      start date: 00:00:00 GMT Feb 1 2001
      end   date: 23:59:59 GMT Jan 31 2031
   Associated Trustpoints: DOCSIS-US-TRUSTPOINT

Stel de vertrouwensstaat Manu Cert in op Trusted

De voorbeelden tonen dat de vertrouwensstaat voor de Manu Cert met index = 4 is veranderd in een vertrouwde staat en serienummer = 437498f09a7dcbc1fa7aa101fe976e40

OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 waarden:

1: vertrouwd
2: onbetrouwbaar
3: geketend
4: wortel

Dit voorbeeld toont de cBR-8 CLI snmp-set opdracht gebruikt om de vertrouwensstaat te veranderen

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2305483, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Dit voorbeeld toont een ver apparaat gebruikt SNMP om de vertrouwenstoestand te veranderen

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

Bevestig Manu Cert-wijzigingen met de cBR-8 CLI of met SNMP

• De waarde van de trust is veranderd van verbonden in vertrouwd
• De bronwaarde is veranderd in SNMP, wat aangeeft dat het certificaat voor het laatst werd beheerd door SNMP en niet vanuit het BPI Protocol Auth Info Message

Dit voorbeeld toont de cBR-8 CLI opdracht gebruikt om de wijzigingen te bevestigen

CBR8-1#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
...
Index: 4
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Motorola Corporation Cable Modem Root Certificate Authority,ou=ASG,ou=DOCSIS,l=San Diego,st=California,o=Motorola Corporation,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial:      437498F09A7DCBC1FA7AA101FE976E40
Thumbprint:  DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
Fingerprint: D41D8CD98F00B204E9800998ECF8427E
...

Dit voorbeeld toont een ver apparaat gebruik SNMP om de veranderingen te bevestigen

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1   (1 = trusted)

jdoe@server1:~$ snmpget -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.6.4 = INTEGER: 1   (1 = snmp)

CM-service herstellen nadat een bekende Manu-schijf is verlopen

Een eerder bekende Manu Cert is een certificaat dat reeds in de cBR-8 database aanwezig is, gewoonlijk als resultaat van AuthInfo berichten van vorige CM registratie. Als een Manu Cert niet wordt gemarkeerd en vervalt, kan elke CM die de verlopen Manu Cert gebruikt en offline gaat, niet opnieuw registreren en is gemarkeerd als diskant(pk). In dit hoofdstuk wordt beschreven hoe deze conditie kan worden hersteld en hoe CM's met verlopen Manu Certs kunnen worden geregistreerd en in bedrijf kunnen blijven.

Wanneer CM's niet online komen en als gevolg van verlopen Manu Certs gemarkeerd zijn (pk), wordt er een syslogbericht gegenereerd en bevat het CM MAC-adres en het verlopen Manu Cert Serienummer.

Identificeer het Verlopen Manu Cert Serienummer van het cBR-8 logbericht

CLC 6/0: Jan 11 17:36:07.094: %CBR-3-MANUFACTURE_CA_CM_CERTIFICATE_FORMAT_ERROR: <133>CMTS[DOCSIS]: CM MAC Addr <1234.5678.9ABC> on Interface Cable6/0/0 U1 : Manu Cert S/N 437498F09A7DCBC1FA7AA101FE976E40 has Expired

Identificeer de index voor de verlopen Manu Cert en stel de Manu Cert Trust State in op Trusted

Dit voorbeeld toont de cBR-8 opdrachten van CLI SNMP die worden gebruikt om de index voor het Manu Cert serienummer van het logbericht te identificeren, die dan wordt gebruikt om de vertrouwenstatus van Manu Cert in te stellen op vertrouwd.

CBR8-1#snmp get-bulk v2c 192.168.1.1 vrf Mgmt-intf private non-repeaters 0 max-repetitions 5 oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 
SNMP Response: reqid 2351849, errstat 0, erridx 0 
docsBpi2CmtsCACertSerialNumber.1 = 
58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19 
docsBpi2CmtsCACertSerialNumber.2 = 
63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C 
docsBpi2CmtsCACertSerialNumber.3 = 
62 97 48 CA C0 A6 0D CB D0 FF A8 91 40 D8 D7 61 
docsBpi2CmtsCACertSerialNumber.4 = 
43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40 
docsBpi2CmtsCACertSerialNumber.5 = 
70 1F 76 05 59 28 35 86 AC 9B 0E 26 66 56 2F 0E 

CBR8-1#snmp set v2c 192.168.1.1 vrf Mgmt-intf private oid 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 integer 1 
SNMP Response: reqid 2353143, errstat 0, erridx 0 
docsBpi2CmtsCACertTrust.4 = 1   (1 = trusted)

Deze voorbeelden tonen een ver apparaat gebruikt SNMP opdrachten om de index voor het Manu Cert serienummer van het logbericht te identificeren, dat dan gebruikt wordt om de vertrouwenstatus van Manu Cert in te stellen op vertrouwd.

jdoe@server1:~$ snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.4 | grep "43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40"
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.4.4 = Hex-STRING: 43 74 98 F0 9A 7D CB C1 FA 7A A1 01 FE 97 6E 40

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 i 1
iso.3.6.1.2.1.10.127.6.1.2.5.2.1.5.4 = INTEGER: 1 (1 = trusted)

Installeer een onbekende Verlopen Manu Cert op cBR-8 en Mark Trusted

Wanneer een verlopen Manu Cert niet bekend is bij cBR-8 kan het niet worden beheerd (gemarkeerd vertrouwd) voor het verstrijken en kan het niet worden hersteld. Dit gebeurt wanneer een CM die eerder onbekend is en niet geregistreerd is op een cBR-8 pogingen om zich te registreren bij een onbekende en verlopen Manu Cert. De Manu Cert moet door SNMP van een ver apparaat aan cBR-8 worden toegevoegd of de kabelprivacy gebruiken van de kabelprivacy cBR-8 kabelinterfaceconconfiguratie om een verlopen Manu Cert toe te voegen door AuthInfo. De opdrachten cBR-8 CLI SNMP kunnen niet worden gebruikt om een certificaat toe te voegen, omdat het aantal tekens in de certificaatgegevens groter is dan de maximale tekens die door de CLI zijn geaccepteerd.  Als een zichzelf ondertekend certificaat wordt toegevoegd, moet de privacy van de kabel privacy accepteren-certificaat opdracht worden geconfigureerd onder de cBR-8 kabelinterface voordat cBR-8 het certificaat kan accepteren. 

Voeg een Verlopen Manu waarschuwing toe aan cBR-8 met SNMP

Gebruik deze docsBpi2CmtsCACertTable OID-waarden om de Manu Cert toe te voegen als een nieuwe tabelingang. De hexadecimale waarde van de Manu Cert, gedefinieerd door de docsBpi2CmtsCACert OID, kan worden geleerd met CA certificaatstappen, beschreven in het ondersteuningsartikel How to Decode DOCSIS certificaatcertificaat for Modem Stuck Diagnosis.

docsBpi2CmtsCACertStatus 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7 (Set to 4 to create the row entry)
docsBpi2CmtsCACert 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8 (The hexadecimal data, as an X509Certificate value, for the actual X.509 certificate)
docsBpi2CmtsCACertTrust 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5 (Set to 1 to set the Manu Cert Trust state to trusted)

Gebruik een uniek indexnummer voor de toegevoegde Manu Cert. De indexen van Manu Certs die al op cBR-8 aanwezig zijn kunnen worden gecontroleerd met de opdracht van de fabrikant van de kabelprivacy-cert-list.

CBR8-2#show cable privacy manufacturer-cert-list | i Index
Index: 4
Index: 5
Index: 6
Index: 7

De voorbeelden in deze sectie gebruiken een indexwaarde van 11 voor de Manu Cert toegevoegd aan de cBR-8 database.

Tip: Stel altijd de CertStatus-eigenschappen in voor de eigenlijke certificaakeigenschappen. Anders gaat de CMTS ervan uit dat het certificaat aan banden wordt gelegd en probeert zij het onmiddellijk te verifiëren bij de fabrikanten en basiscertificaten.

Sommige besturingssystemen kunnen invoerlijnen niet accepteren die zo lang nodig zijn om de hexadecimale gegevensstring in te voeren die een certificaat specificeert. Om deze reden kan een grafische SNMP manager worden gebruikt om deze eigenschappen in te stellen. Voor een aantal certificaten kan een script, indien makkelijker, worden gebruikt.

Dit voorbeeld toont een ver apparaat gebruik SNMP om een certificaat van het Kremmend van Manu aan cBR-8 toe te voegen. Het meeste certificaat gegevens zijn gecommitteerd voor leesbaarheid, aangegeven door elipses (...). 

jdoe@server1:~$ snmpset -v 2c -c private 192.168.1.1 1.3.6.1.2.1.10.127.6.1.2.5.2.1.7.11 i 4 1.3.6.1.2.1.10.127.6.1.2.5.2.1.8.11 x "0x3082...38BD" 1.3.6.1.2.1.10.127.6.1.2.5.2.1.5.11 i 1

Geef een Verlopen Manu Cert toe die door AuthInfo met cBR-8 CLI Opdracht wordt toegevoegd

Een Manu Cert voert doorgaans de cBR-8 database in door het bericht AuthInfo van het BPI-protocol dat vanaf de CM naar cBR-8 wordt verzonden. Elke unieke en geldige Manu Cert die in een AuthInfo bericht wordt ontvangen wordt toegevoegd aan de database. Als de Manu Cert niet bekend is met de CMTS (niet in de database) en de geldigheids datums is verlopen, wordt AuthInfo verworpen en wordt de Manu Cert niet toegevoegd aan de cBR-8 database. Een verlopen Manu Cert kan aan CMTS door de uitwisseling van AuthInfo worden toegevoegd wanneer de kabelprivacy behouden-faalde-certificaten de configuratie van de-baan onder de cBR-8 kabelinterfaceconfiguratie aanwezig is. Hiermee kan de verlopen Manu Cert worden toegevoegd aan de cBR-8 database als onbetrouwbaar. Om het verlopen Manu Cert te gebruiken, moet SNMP worden gebruikt om het vertrouwde op te merken. Wanneer het verlopen Manu Cert aan cBR-8 wordt toegevoegd en de markering op het vertrouwde, dan wordt het verwijderen van de kabelprivacy-faalde-certificaten aanbevolen om extra, potentieel ongewenst, Manu Certs niet het systeem in te voeren.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#int Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#end

Verlopen CM-certificering en Manu-certificering voor authInfo met cBR-8 CLI-opdracht

Een verlopen CM-certificaat kan door de AuthInfo-uitwisseling aan de CMTS worden toegevoegd wanneer zowel de kabelprivacy-faalde-certificaten als de skip-validatie-periode opdrachten van de kabelprivacy worden geconfigureerd onder elke relevante kabelinterface. Dit zorgt ervoor dat cBR-8 de verlopen datumcontroles van ALLE CM- en Manu-certificaten die in het CM BPI AuthInfo-bericht worden verzonden negeert. Wanneer de verlopen CM- en Manu-certificaten aan cBR-8 worden toegevoegd en betrouwbaar worden gemarkeerd, wordt verwijdering van de beschreven configuratie aanbevolen zodat extra, potentieel ongewenst, Certs niet in het systeem komen.

CBR8-1#config t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#interface Cable6/0/0
CBR8-1(config-if)#cable privacy retain-failed-certificates
CBR8-1(config-if)#cable privacy skip-validity-period
CBR8-1(config-if)#end
CBR8-1#copy run start

Aanvullende informatie

Configuratie-overweging voor MAC-domein/Cable Interface

De configuratieopdrachten voor de kabelprivacy-Houd-gefaalde certificaten en de kabelprivacy-validiteitsperiode worden gebruikt op het MAC-domein / kabelinterfaceniveau en zijn niet restrictief. De opdracht vasthouden-default certificaten kan elk mislukt certificaat aan de cBR-8 database toevoegen en de opdracht skip-validatie-periode kan de geldigheid datumcontroles op alle Manu- en CM-certs overslaan.

SNMP-pakketgrootte

Een SNMP-get voor Cert-gegevens kan een NULL-waarde teruggeven als de Cert OctetString groter is dan de SNMP-pakketgrootte. Een cBR-8 SNMP-configuratie kan worden gebruikt wanneer grote certificaten worden gebruikt;

CBR8-1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
CBR8-1(config)#snmp-server packetsize 3000
CBR8-1(config)#end
CBR8-1#copy run start

Manu Cert Debug

Manu Cert debug op cBR-8 wordt ondersteund met de opdrachten debug van kabelprivacy en debug van kabeladres <CM mac-adres>. Aanvullende debug-informatie wordt uitgelegd in het ondersteuningsartikel How to Decode DOCSIS Certificate for Modem Stuck Diagnosis. Dit omvat CA certificaatstappen die worden gebruikt om de hexadecimale waarde van een Manu Cert te leren.

Verwante ondersteuningsdocumentatie

• DOCSIS 1.1 voor Cisco CMTS-routers biedt extra informatie over cBR-8 ondersteuning en configuratie van DOCSIS-Privacyinterface (BPI+) voor basislijn.
• Cisco CMTS Cable Opdrachtreferentie geeft informatie over cBR-8 CLI opdrachten waarnaar in dit document wordt verwezen.
• Werk rond en herstel Verlopen certificaten van de fabrikant op uBR10K biedt soortgelijke informatie als dit document voor de uBR10K CMTS.
• Technische ondersteuning en documentatie – Cisco Systems