Introdução
Este documento descreve o processo para renovar o certificado raiz Umbrella quando o registro baseado em token é usado para dispositivos Cisco IOS® XE SD-WAN.
Pré-requisito
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento básico da Public Key Infrastructure (PKI).
- Conhecimento da tecnologia SD-WAN da Cisco
Este fluxo de trabalho só deverá ser usado se você estiver usando o registro do Umbrella baseado em token. Caso você esteja usando o registro baseado em API, as etapas mencionadas no aviso de campo FN74166 devem ser seguidas para obter o certificado raiz instalado.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- C8000V versão 17.6.6
- vManage versão 20.6.6
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Background
O Umbrella renovou o certificado para FQDN api.opendns.com a partir de 29-maio-2024 e o certificado foi assinado por uma nova raiz ca DigiCert Global Root G2. Se o dispositivo de Borda não tiver essa raiz ca presente na lista de certificados PKI e se usar o Registro de Umbrella baseado em token, o registro do Umbrella falhará. O fluxo de trabalho neste documento aborda como instalar o root-ca no roteador de borda.
Etapas para executar
Verifique se o dispositivo Edge tem um registro Umbrella baseado em token. É assim que a configuração seria.
parameter-map type umbrella global
token 83F1YHF457592596A3D8CF52YHDFSDRD
Outra configuração necessária para que o processo de registro do dispositivo Edge seja iniciado e para que ele obtenha o certificado raiz e o instale.
parameter-map type umbrella global
vrf 10
dns-resolver umbrella >>>>required
ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload
interface GigabitEthernet0/0/0
ip dhcp client client-id ascii FGL233913F6
ip address 10.122.164.132 255.255.255.128
ip nat outside >>>>>
negotiation auto
end
No dispositivo Edge, verifique se o certificado raiz trustidrootx3_ca_092024.ca existe no local /bootflash.
cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca
Baixe este certificado raiz "DigiCert Global Root G2" no dispositivo Edge no local /bootflash/sdwan com o nome trustidrootx3_ca_092024.ca.
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Mova o certificado raiz antigo em /bootflash:trustidrootx3_ca_092024.ca para /bootflash/sdwan renomeando-o para trustidrootx3_ca_092024.ca.bkp.
copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp
Exclua o certificado raiz trustidrootx3_ca_092024.ca de /bootflash.
cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca
Mova o novo certificado raiz trustidrootx3_ca_092024.ca em /bootflash/sdwan para /bootflash.
copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:
Recarregue o dispositivo Edge.
Observação: esse processo precisa ser seguido se você tiver um registro Umbrella baseado em token. Caso o registro baseado em API seja usado, o processo no aviso de campo mencionado neste documento deve ser seguido.
Troubleshooting
Essas depurações podem ser ativadas no dispositivo Edge para ver se o novo certificado raiz está sendo instalado.
cedge-ISR1100-4G#debug umbrella device-registration
Para ver os logs, você pode mostrar registro ou verificar o arquivo IOSRP_R0 em /tmp/rp/trace. Você verá esses logs.
Sucesso
2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info): *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully
Falha
2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn): *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed
Verificação
Para verificar se o certificado foi instalado com êxito no dispositivo Edge, você pode usar esses comandos.
cedge-ISR1100-4G#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate Usage: Signature
Issuer:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Subject:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Validity Date:
start date: 12:00:00 UTC Aug 1 2013
end date: 12:00:00 UTC Jan 15 2038
Associated Trustpoints: trustidrootx3_ca_092024
Storage: nvram:DigiCertGlob#FAE5CA.cer
cedge-ISR1100-4G#show crypto pki trustpoints
Trustpoint SLA-TrustPoint:
Subject Name:
cn=Cisco Licensing Root CA
o=Cisco
Serial Number (hex): 01
Certificate configured.
Trustpoint trustidrootx3_ca_092024:
Subject Name:
cn=DigiCert Global Root G2
ou=www.digicert.com
o=DigiCert Inc
c=US
Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
Certificate configured.
Informações Relacionadas
Feedback