續訂基於令牌的配置的Umbrella根證書

簡介

本文檔介紹在基於令牌的註冊用於Cisco IOS® XE SD-WAN裝置時更新Umbrella根證書的過程。 

必備條件

需求

思科建議您瞭解以下主題：

• 公開金鑰基礎架構(PKI)的基本知識。
• Cisco SD-WAN技術知識

只有在您使用基於令牌的Umbrella註冊時，才能使用此工作流。如果您使用基於API的註冊，請執行FN74166現場通知中提到的步驟，以獲取安裝根證書。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• C8000V版本17.6.6
• vManage 20.6.6版

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景

Umbrella從2024年5月29日起續訂FQDN api.opendns.com的證書，並且證書由新的根ca DigiCert全局根G2簽名。如果Edge裝置在PKI證書清單中沒有此根ca，並且如果它使用基於令牌的Umbrella註冊，則Umbrella註冊將失敗。本文檔中的工作流程介紹如何在邊緣路由器上安裝root-ca。

執行的步驟

請檢查邊緣裝置是否具有基於令牌的Umbrella註冊。這是配置的外觀。

parameter-map type umbrella global
 token 83F1YHF457592596A3D8CF52YHDFSDRD

邊緣裝置註冊過程啟動以及獲取根證書並安裝所需的其他配置。

parameter-map type umbrella global
  vrf 10
  dns-resolver umbrella  >>>>required

ip nat inside source list nat-acl interface GigabitEthernet0/0/0 overload

interface GigabitEthernet0/0/0
 ip dhcp client client-id ascii FGL233913F6
 ip address 10.122.164.132 255.255.255.128
 ip nat outside    >>>>>
 negotiation auto
end

在邊緣裝置上，檢查根證書trustidrootx3_ca_092024.ca是否存在於位置/bootflash。

cedge-ISR1100-4G#dir bootflash: | in .ca
30 -rw- 237 Aug 13 2024 08:47:55 +00:00 pki_certificates
25 -rw- 1294 Aug 13 2024 08:46:54 +00:00 trustidrootx3_ca_092024.ca

在位於位置/bootflash/sdwan(名稱為trustidrootx3_ca_092024.ca)的邊緣裝置上下載此根證書「DigiCert全局根G2」。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

透過將舊根證書重新命名為trustidrootx3_ca_092024.ca.bkp，將其移到/bootflash：trustidrootx3_ca_092024.ca下的/bootflash/sdwan。

copy bootflash:trustidrootx3_ca_092024.ca bootflash:sdwan/trustidrootx3_ca_092024.ca.bkp

從/bootflash中刪除根證書trustidrootx3_ca_092024.ca。

cedge-ISR1100-4G#delete bootflash:trustidrootx3_ca_092024.ca

將新的根證書trustidrootx3_ca_092024.ca(在/bootflash/sdwan下)移到/bootflash。

copy bootflash:sdwan/trustidrootx3_ca_092024.ca bootflash:

重新載入邊緣裝置。

注意：如果註冊了基於令牌的Umbrella，則需要遵循此過程。如果使用基於API的註冊，則遵循本文檔中引用的現場通知中的過程。

疑難排解

可在邊緣裝置上啟用這些調試，以檢視是否安裝了新的根證書。

cedge-ISR1100-4G#debug umbrella device-registration

要檢視日誌，您可以執行show logging或檢查/tmp/rp/trace下的檔案IOSRP_R0。你會看到這些日誌。

成功

2024/08/13 08:36:18.289855465 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (info):  *Aug 13 08:36:18.287: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: trustidrootx3_ca_092024 created succesfully

失敗

2024/08/13 08:36:20.838420795 {IOSRP_R0-0}{1}: [iosrp] [24596]: UUID: 0, ra: 0, (warn):  *Aug 13 08:36:20.838: %PKI-4-TRUSTPOOL_DOWNLOAD_FAILURE: Trustpool Download failed

驗證

要驗證是否已在邊緣裝置上成功安裝了證書，可以使用以下命令。

cedge-ISR1100-4G#show crypto pki certificates 
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
  Certificate Usage: Signature
  Issuer: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Subject: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
  Validity Date: 
    start date: 12:00:00 UTC Aug 1 2013
    end   date: 12:00:00 UTC Jan 15 2038
  Associated Trustpoints: trustidrootx3_ca_092024 
  Storage: nvram:DigiCertGlob#FAE5CA.cer

cedge-ISR1100-4G#show crypto pki trustpoints 
Trustpoint SLA-TrustPoint:
    Subject Name: 
    cn=Cisco Licensing Root CA
    o=Cisco
          Serial Number (hex): 01
    Certificate configured.


Trustpoint trustidrootx3_ca_092024:
    Subject Name: 
    cn=DigiCert Global Root G2
    ou=www.digicert.com
    o=DigiCert Inc
    c=US
          Serial Number (hex): 033AF1E6A711A9A0BB2864B11D09FAE5
    Certificate configured.

相關資訊

• Cisco Umbrella整合
• 技術支援與文件 - Cisco Systems