تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند خيارات لمنع تأثيرات خدمة رفض (PK) مودم الكبل (CM) والتبديل والاسترداد منها على نظام توصيل مودم الكبل uBR10K (CMTS) الذي ينتج عن انتهاء صلاحية شهادة الشركة المصنعة (Manu Cert).
هناك أسباب مختلفة ليصبح CM عالقا في حالة الرفض(pk) على uBR10K. أحد الأسباب هو انتهاء صلاحية وحدة مانو. يتم إستخدام شهادة MANU للمصادقة بين CM و CMTS. في هذا المستند، تشير شهادة MANU إلى مواصفات أمان DOCSIS 3.0 CM-SP-SECv3.0 على أنها شهادة CableLabs MFG CA أو شهادة CA للشركة المصنعة. تعني انتهاء الصلاحية أن تاريخ/وقت نظام uBR10K يتجاوز تاريخ/وقت انتهاء صلاحية وحدة التحكم البشرية.
تم وضع علامة "رفض (pk)" على CM الذي يحاول التسجيل مع uBR10K بعد انتهاء صلاحية شهادة Manu من قبل CMTS وهو ليس في الخدمة. يمكن أن يبقى CM المسجل بالفعل مع uBR10K وفي الخدمة عند انتهاء صلاحية شهادة Manu في الخدمة حتى المرة التالية التي يحاول فيها CM التسجيل، والتي يمكن أن تحدث بعد إعادة تشغيل حدث واحد في المودم دون اتصال، أو إعادة تشغيل بطاقة Cable Linecard ل uBR10K، أو إعادة تحميل uBR10K، أو أحداث أخرى تؤدي إلى تشغيل تسجيل المودم. في ذلك الوقت يفشل CM في المصادقة، ويوضع عليه علامة رفض (pk) بواسطة uBR10K ولا يكون في الخدمة.
يوفر DOCSIS 1.1 لموجهات Cisco CMTS معلومات إضافية حول دعم uBR10K وتكوين واجهة خصوصية خط DOCSIS الأساسي (BPI+).
يمكن عرض معلومات إختبار الاتصال عبر أوامر واجهة سطر الأوامر (CLI) uBR10K أو البروتوكول البسيط لإدارة الشبكة (SNMP). يتم إستخدام هذه الأوامر والمعلومات بواسطة الحلول الموضحة في هذا المستند.
يتضمن إخراج هذا الأمر بعض معلومات آلية مانو. يمكن الحصول على فهرس Manu Cert فقط بواسطة SNMP
يتم إستخدام أوامر تكوين واجهة الكبل هذه للحلول البديلة والاستعادة
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#cable privacy skip-validity-period
يتم تحديد معلومات إختبار الاتصال في الفرع 1.3.6.1.2.10.127.6.1.2.5.2.1.127.1.1.1، الموضح في متصفح كائن SNMP.
ملاحظة: في البرنامج uBR10k، تم تنفيذ RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIB مع فرع/مسار OID غير صحيح. النظام الأساسي uBR10k هو نهاية البيع وقد تجاوز تاريخ نهاية دعم البرامج، لذلك لا يوجد إصلاح لهذا الخلل في البرنامج. بدلا من مسار/فرع قاعدة معلومات الإدارة المتوقع 1.3.6.1.2.10.127.6، يجب إستخدام مسار/فرع قاعدة معلومات الإدارة 1.3.6.1.2.1.999 لتفاعلات SNMP مع قاعدة معلومات الإدارة/معرفات BPI2 على uBR10k.
معرف تصحيح الأخطاء من Cisco ذات الصلة CSCum28486
هذه هي معادلات المسار الكامل لمعرف قاعدة معلومات الإدارة (OID) الخاص بمعرف قاعدة معلومات الإدارة (BPI2) لمعلومات سجل التحكم بالمجال (MANU) على uBR10k كما هو موضح في معرف تصحيح الأخطاء من Cisco CSCum28486:
docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8
تستخدم أمثلة الأوامر في هذا المستند شكل بيضاوي (...) للإشارة إلى حذف بعض المعلومات لقبوليتها.
يعد تحديث البرنامج الثابت CM أفضل حل على المدى البعيد. يتم وصف الحلول التي تسمح لبطاقات CM المزودة بذاكرة Manu Certs منتهية الصلاحية بالتسجيل والبقاء على الإنترنت مع uBR10K في هذا المستند، ولكن يوصى باستخدام هذه الحلول البديلة فقط على المدى القصير. إذا لم يكن تحديث البرنامج الثابت CM خيارا، فإن إستراتيجية إستبدال CM هي حل جيد على المدى الطويل من منظور الأمان والعمليات. وتتناول الحلول المبينة هنا ظروفا أو سيناريوهات مختلفة ويمكن إستخدامها منفردة أو بعضها، بالاقتران مع بعضها البعض؛
ملاحظة: في حالة إزالة مؤشر BPI، يؤدي ذلك إلى تعطيل التشفير والمصادقة، مما يقلل من إمكانية تنفيذ ذلك كحل بديل إلى الحد الأدنى.
وفي كثير من الحالات، تقدم جهات تصنيع CM تحديثات للبرامج الثابتة CM التي تمدد تاريخ انتهاء صلاحية وحدة التحكم بالمخزون. ويعد هذا الحل هو الخيار الأفضل، كما أنه عند تنفيذه قبل انتهاء صلاحية وحدة معالجة الرسومات (MANU)، فإنه يعمل على منع آثار الخدمة ذات الصلة. يقوم قسم إدارة المحتوى (CMs) بتحميل البرنامج الثابت الجديد وإعادة تسجيله باستخدام وحدات تحكم MANU و CM الجديدة. يمكن أن تتم مصادقة الشهادات الجديدة بشكل صحيح، ويمكن أن يتم تسجيل CMs بنجاح مع uBR10K. يمكن لشهادة MANU الجديدة و CM Cert إنشاء سلسلة شهادات جديدة من جديد إلى شهادة الجذر المعروفة المثبتة بالفعل في uBR10K.
في حالة عدم توفر تحديث البرنامج الثابت CM نظرا لانتهاء صلاحية مصنع CM، أو عدم توفر دعم إضافي لنموذج CM، إلخ، يمكن وضع علامة إستباقية على وحدات التحكم الإدارية المعروفة مسبقا على uBR10k والتي تحتوي على تواريخ انتهاء صلاحية في المستقبل القريب موثوق بها في uBR10k قبل انتهاء الصلاحية. يمكن العثور على الرقم التسلسلي لوحدة التحكم كبيرة السعة وتاريخ انتهاء الصلاحية والحالة باستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K. يمكن العثور على الرقم التسلسلي لبروتوكول MANU Cert وحالة الثقة والفهرس باستخدام بروتوكول SNMP.
يتم عادة تعلم وحدات الإدخال/الإخراج (MANU) المعروفة لأجهزة المودم المستخدمة حاليا في الخدمة والمتواصلة عبر الإنترنت بواسطة uBR10K من CM من خلال بروتوكول واجهة الخصوصية لأساس DOCSIS (BPI). تحتوي رسالة معلومات المصادقة التي تم إرسالها من CM إلى uBR10K على شهادة MANU. يتم تخزين كل وحدة تخزين فريدة في ذاكرة uBR10K ويمكن عرض المعلومات الخاصة بها باستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K وبروتوكول إدارة شبكة الاتصال البسيط (SNMP).
عندما يتم وضع علامة على MANU CERT كعنصر موثوق، فإن ذلك يؤدي إلى أمرين مهمين. أولا، يسمح لبرنامج uBR10K BPI بتجاهل تاريخ الصلاحية الذي انتهت صلاحيته. وثانيا، يقوم بتخزين وحدة التحكم بالمانو كما هو موثوق به في ذاكرة الوصول العشوائي غير المتطايرة (NVRAM) طراز uBR10k. وهذا يحافظ على حالة وحدة المعالجة المركزية (MANU) عبر إعادة تحميل uBR10K ويقلل من الحاجة إلى تكرار هذا الإجراء في حالة إعادة تحميل uBR10K
توضح أمثلة أوامر واجهة سطر الأوامر (CLI) و SNMP كيفية تعريف فهرس آلية مانو والرقم التسلسلي وحالة الثقة، ثم إستخدام تلك المعلومات لتغيير حالة الثقة إلى موثوق بها. وتركز الأمثلة على وحدة طرفية واحدة مع الفهرسة 5 والرقم التسلسلي 45529C2654797E1623C6E723180A9E9C.
في هذا المثال، يتم إستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K لعرض شهادات تشفير PKI وإظهار خصوصية الكبل الخاص بالشركة المصنعة-cert-list لعرض معلومات مصدر المانو المعروفة.
UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open
clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
Status: Available
Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
Certificate Usage: Not Set
Issuer:
cn=DOCSIS Cable Modem Root Certificate Authority
ou=Cable Modems
o=Data Over Cable Service Interface Specifications
c=US
Subject:
cn=Arris Cable Modem Root Certificate Authority
ou=Suwanee\
Georgia
ou=DOCSIS
o=Arris Interactive\
L.L.C.
c=US
Validity Date:
start date: 20:00:00 EDT Sep 11 2001
end date: 19:59:59 EDT Sep 11 2021
Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit
[Connection to 127.0.0.81 closed by foreign host]
uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained <-- Cert Trust State is Chained
Source: Auth Info <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
معرفات بروتوكول SNMP ذات الصلة uBR10K:
docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
في هذا المثال، يتم إستخدام الأمر snmpWalk لعرض المعلومات في جدول التحقق من وحدة التخزين المؤقتة uBR10k. يمكن ربط الرقم التسلسلي المعروف في قائمة مانو Manu بمؤشر Manu Cert، الذي يمكن إستخدامه لتعيين حالة الثقة. تعتمد أوامر SNMP وتنسيقاته المحددة على الجهاز ونظام التشغيل المستخدم لتنفيذ أمر/طلب SNMP.
Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)
قيم OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.10.127.6.1.2.5.2.1.5 (OID على uBR10k هو 1.3.6.1.2.1.999.1.2.5.2.5)
1 : موثوق به
2 : غير موثوق به
3 : السلسلة
4 : الجذر
يوضح المثال حالة الثقة التي تم تغييرها من السلسلة إلى الثقة ل Manu Cert مع الفهرس = 5 والرقم التسلسلي = 45529C2654797E1623C6E723180A9E9C.
Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1
Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)
uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:
Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
شهادة Manu Cert المعروفة سابقا هي شهادة موجودة بالفعل في قاعدة بيانات uBR10K، وعادة ما تكون نتيجة لرسائل AuthInfo من تسجيل CM السابق. إذا لم يتم وضع علامة "موثوق به" على شهادة Manu وكانت الشهادة تنتهي صلاحيتها، فيمكن لكافة CMs التي تستخدم شهادة Manu المنتهية صلاحيتها الاتصال لاحقا ومحاولة التسجيل ولكن يقوم uBR10K بوضع علامة "رفض" عليهم (PK) وهم غير موجودين في الخدمة. يوضح هذا القسم كيفية الاسترداد من هذه الحالة والسماح ل CMs التي انتهت صلاحيتها لأجزاء مانو بالتسجيل والبقاء في الخدمة.
يمكن التحقق من معلومات إختبار Manu الخاصة ب CM الملتصق في رفض(pk) باستخدام الأمر uBR10k CLI show cable modem <CM MAC address> الخصوصية.
show cable modem 1234.5678.9abc privacy verbose
MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information
أستخدم نفس أوامر واجهة سطر الأوامر (CLI) و SNMP عبر uBR10K كما هو موضح في القسم السابق لتحديد الفهرس الخاص بمنطقة التخزين المؤقت (MANU) استنادا إلى الرقم التسلسلي لمنفذ Manu. أستخدم رقم فهرس Manu Cert الذي انتهت صلاحيته لتعيين حالة ثقة Manu Cert إلى موثوق به مع SNMP.
jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...
jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)
في حالة عدم معرفة وحدة معالجة مركزية منتهية الصلاحية للخادم uBR10K، وبالتالي لا يمكن إدارتها (علامة موثوق بها) قبل انتهاء الصلاحية ولا يمكن إستردادها، يجب إضافة وحدة معالجة الرسومات إلى وحدة المعالجة المركزية (uBR10K) ووضع علامة عليها كعنصر موثوق به. يحدث هذا الشرط عندما يحاول CM غير معروف سابقا وغير مسجل على uBR10K التسجيل باستخدام شهادة Manu Cert غير معروفة ومنتهية الصلاحية.
يمكن إضافة شهادة MANU إلى uBR10K بواسطة مجموعة SNMP أو بواسطة تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة.
لإضافة شهادة مصنع، أضف إدخالا إلى جدول docsBpi2CmtsCACertTable. قم بتعيين هذه السمات لكل مدخل.
يتعذر على معظم أنظمة التشغيل قبول بنود الإدخال التي تكون مطلوبة لإدخال السلسلة السداسية العشرية التي تحدد الشهادة. ولهذا السبب، يوصى بإدارة SNMP الرسومية لتعيين هذه السمات. لعدد من التراخيص، يمكن إستخدام ملف برنامج نصي، إذا كان أكثر ملائمة.
يضيف أمر SNMP والنتائج في المثال شهادة ASCII DER مرمزة ASN.1 X.509 إلى قاعدة بيانات uBR10K مع المعلمات:
Index = 11
Status = createAndGo (4)
Trust state = trusted (1)
أستخدم رقم فهرس فريد ل MANU CERT المضاف. عند إضافة شهادة Manu منتهية الصلاحية، تكون الدولة غير موثوق بها ما لم يتم تعيينها يدويا إلى موثوق بها. إذا تمت إضافة شهادة موقعة ذاتيا، فيجب تكوين الأمر cable privacy accept-signed-certificate ضمن تكوين واجهة كبل uBR10K قبل أن يقبل uBR10K الشهادة.
في هذا المثال، يتم حذف بعض محتوى الشهادة من أجل إمكانية القراءة، كما هو موضح بواسطة Elipsis (...).
jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 =
30 82 04 00 30 82 02 e8 a0 03 02 01 02 02 10 43
74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30
...
f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21
1f 1b b7 2c 13 19 3d 56 ab 4b 09 a9 1e 62 5c ee
c0 d2 ba 2d
docsBpi2CmtsCACertTrust.11 = trusted(1)
يدخل قسم Manu عادة قاعدة بيانات uBR10K بواسطة رسالة AuthInfo لبروتوكول BPI التي يتم إرسالها إلى uBR10K من CM. تتم إضافة كل وحدة تحكم مانو فريدة وصالحة يتم تلقيها في رسالة AuthInfo إلى قاعدة البيانات. إذا كان Manu Cert غير معروف ل CMTS (ليس في قاعدة البيانات) وكان لديه تواريخ صلاحية منتهية الصلاحية، يتم رفض AuthInfo ولا تتم إضافة Manu Cert إلى قاعدة بيانات uBR10K. يمكن إضافة وحدة تحكم آلية غير صالحة إلى وحدة التحكم uBR10K بواسطة AuthInfo عندما يكون تكوين الحل البديل لخصوصية الكبل مع الاحتفاظ بشهادات الفشل موجودا ضمن تكوين واجهة كبل uBR10K. وهذا يسمح بإضافة قاعدة بيانات Manu Cert منتهية الصلاحية إلى قاعدة بيانات uBR10K كقاعدة بيانات غير قابلة للتأويل. لاستخدام شهادة Manu منتهية الصلاحية، يجب إستخدام SNMP لوضع علامة عليه موثوق.
uBR10K#config t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end
عند إضافة شهادة Manu منتهية الصلاحية إلى uBR10K ووضع علامة عليها، يوصى بإزالة تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة لمنع إضافة شهادات Manu منتهية الصلاحية أخرى غير معروفة على uBR10K.
في بعض الحالات، تنتهي صلاحية شهادة CM. لهذه الحالة، بالإضافة إلى تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة، يلزم تكوين آخر على uBR10k. تحت كل مجال MAC uBR10K ذو صلة (واجهة الكبل)، أضف خصوصية الكبل مع تكوين فترة الصلاحية واحفظ التكوين. وهذا يتسبب في تجاهل uBR10K عمليات التحقق من فترة الصلاحية منتهية الصلاحية لكافة الشهادات CM و MANU المرسلة في رسالة AuthInfo الخاصة ب CM BPI.
uBR10K#config t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start
يتم إستخدام أوامر تكوين فترة الصلاحية وتخطي خصوصية الكبل مع الاحتفاظ بخصوصية الكبل على مستوى مجال MAC / واجهة الكبل وهي ليست تقييدية. يمكن أن يقوم الأمر retain-failed-certificates بإضافة أي شهادة فاشلة إلى قاعدة بيانات uBR10K ويمكن أن يتخطى الأمر skip-validity-period عمليات التحقق من تاريخ الصلاحية على جميع أجزاء CM و MANU.
يمكن أن تكون هناك حاجة إلى تكوين إضافي لبروتوكول SNMP uBR10K عند إستخدام الشهادات كبيرة الحجم. يمكن أن يكون الحصول على بيانات SNMP خاليا إذا كانت سلسلة النظام الثماني للخادم أكبر من حجم حزمة SNMP. على سبيل المثال;
uBR10K#conf t
Enter configuration commands, one per line. End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end
يتم دعم تصحيح أخطاء Manu Cert على uBR10K باستخدام الأمر debug cable privacy ca-cert وdebug cable mac-address <cm mac-address> أوامر. يتم شرح معلومات تصحيح أخطاء إضافية في مقالة الدعم كيفية فك ترميز شهادة DOCSIS لتشخيص حالة توقف المودم.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
2.0 |
07-Dec-2021 |
تمت إضافة إرتباطات في المستند إلى مقاطع حلول فردية وتم إجراء تصحيحات بسيطة في التنسيق. |
1.0 |
19-Nov-2021 |
الإصدار الأولي |