الحل البديل واسترداد شهادات الشركة المصنعة منتهية الصلاحية على uBR10k

المقدمة

يصف هذا المستند خيارات لمنع تأثيرات خدمة رفض (PK) مودم الكبل (CM) والتبديل والاسترداد منها على نظام توصيل مودم الكبل uBR10K (CMTS) الذي ينتج عن انتهاء صلاحية شهادة الشركة المصنعة (Manu Cert).

المشكلة

هناك أسباب مختلفة ليصبح CM عالقا في حالة الرفض(pk) على uBR10K. أحد الأسباب هو انتهاء صلاحية وحدة مانو. يتم إستخدام شهادة MANU للمصادقة بين CM و CMTS. في هذا المستند، تشير شهادة MANU إلى مواصفات أمان DOCSIS 3.0 CM-SP-SECv3.0 على أنها شهادة CableLabs MFG CA أو شهادة CA للشركة المصنعة. تعني انتهاء الصلاحية أن تاريخ/وقت نظام uBR10K يتجاوز تاريخ/وقت انتهاء صلاحية وحدة التحكم البشرية.

تم وضع علامة "رفض (pk)" على CM الذي يحاول التسجيل مع uBR10K بعد انتهاء صلاحية شهادة Manu من قبل CMTS وهو ليس في الخدمة. يمكن أن يبقى CM المسجل بالفعل مع uBR10K وفي الخدمة عند انتهاء صلاحية شهادة Manu في الخدمة حتى المرة التالية التي يحاول فيها CM التسجيل، والتي يمكن أن تحدث بعد إعادة تشغيل حدث واحد في المودم دون اتصال، أو إعادة تشغيل بطاقة Cable Linecard ل uBR10K، أو إعادة تحميل uBR10K، أو أحداث أخرى تؤدي إلى تشغيل تسجيل المودم. في ذلك الوقت يفشل CM في المصادقة، ويوضع عليه علامة رفض (pk) بواسطة uBR10K ولا يكون في الخدمة.

يوفر DOCSIS 1.1 لموجهات Cisco CMTS معلومات إضافية حول دعم uBR10K وتكوين واجهة خصوصية خط DOCSIS الأساسي (BPI+).

معلومات فريق مانو

يمكن عرض معلومات إختبار الاتصال عبر أوامر واجهة سطر الأوامر (CLI) uBR10K أو البروتوكول البسيط لإدارة الشبكة (SNMP).  يتم إستخدام هذه الأوامر والمعلومات بواسطة الحلول الموضحة في هذا المستند.

سمات وحقول معلومات شهادة Manu

• الفهرس: عدد صحيح فريد تم تعيينه لكل وحدة تخزين بالمانيو في قاعدة بيانات uBR10K/قاعدة معلومات الإدارة

• الموضوع اسم الموضوع بالضبط كما هو مشفر في شهادة X509
  
  • cn: CommonName
  • ش: الوحدة التنظيمية
  • س: المنظمة
  • ل: المكان
  • s: StateOrProvinceName
  • ج: CountryName
• المصدر: هيئة الشهادات
• تسلسلي: الرقم التسلسلي للعنصر ممثلا في سلسلة نظام ثماني سداسي عشر
• الحالة: حالة الضمان للشهادة
  
  • ائتمنتن
  • غير موثوق به
  • مكبل
  • جذر
• المصدر: كيفية وصول الشهادة إلى CMTS
  
  • snmp
  • configurationFile
  • قاعدة بيانات خارجية
  • غير ذلك
  • authentInfo
  • compiledInfoCode
• الحالة/حالة الصف: حالة الشهادة
  
  • نشط
  • غير InService
  • غير جاهز
  • createAndGo
  • إنشاء WaitWait
  • تدمير
• شهادة المرجع المصدق X509 DER المرمز
• تاريخ الصلاحية: تواريخ البدء والانتهاء التي تحدد فترة صلاحية وحدة التحكم بالمانيو بالنسبة إلى تاريخ ووقت نظام نظام نظام مراقبة المواد الكيميائية
  
  • تاريخ البدء: تاريخ ووقت سريان شهادة مانو
  • تاريخ الانتهاء: تاريخ ووقت توقف صلاحية وحدة معالجة المواد
• شهادة المرجع المصدق X509 DER المرمز
• بصمة الإبهام: تجزئة SHA-1 لشهادة CA

أوامر CLI uBR10K

يتضمن إخراج هذا الأمر بعض معلومات آلية مانو. يمكن الحصول على فهرس Manu Cert فقط بواسطة SNMP

• من وضع CLI EXEC ل uBR10K أو وضع CLI EXEC ل Linecard: uBR10K#show خصوصية الكبل الشركة المصنعة-cert-list
• من وضع CLI EXEC لبطاقة الخط uBR10K Linecard: slot-6-0#show crypto pki certificates

يتم إستخدام أوامر تكوين واجهة الكبل هذه للحلول البديلة والاستعادة

• uBR10K(config-if)#cable privacy retain-failed-certificates

• uBR10K(config-if)#cable privacy skip-validity-period

DOCSIS-BPI-plus-MIB OIDs

يتم تحديد معلومات إختبار الاتصال في الفرع 1.3.6.1.2.10.127.6.1.2.5.2.1.127.1.1.1، الموضح في متصفح كائن SNMP.

ملاحظة: في البرنامج uBR10k، تم تنفيذ RFC 4131 docsBpi2MIB / DOCS-IETF-BPI2-MIB مع فرع/مسار OID غير صحيح. النظام الأساسي uBR10k هو نهاية البيع وقد تجاوز تاريخ نهاية دعم البرامج، لذلك لا يوجد إصلاح لهذا الخلل في البرنامج. بدلا من مسار/فرع قاعدة معلومات الإدارة المتوقع 1.3.6.1.2.10.127.6، يجب إستخدام مسار/فرع قاعدة معلومات الإدارة 1.3.6.1.2.1.999 لتفاعلات SNMP مع قاعدة معلومات الإدارة/معرفات BPI2 على uBR10k.
معرف تصحيح الأخطاء من Cisco ذات الصلة CSCum28486

هذه هي معادلات المسار الكامل لمعرف قاعدة معلومات الإدارة (OID) الخاص بمعرف قاعدة معلومات الإدارة (BPI2) لمعلومات سجل التحكم بالمجال (MANU) على uBR10k كما هو موضح في معرف تصحيح الأخطاء من Cisco CSCum28486:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2
  docsBpi2CmtsCACertEntry = 1.3.6.1.2.1.9999.1.2.5.2.1
  docsBpi2CmtsCACertIndex = 1.3.6.1.2.1.9999.1.2.5.2.1.1
  docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
  docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
  docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
  docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
  docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6
  docsBpi2CmtsCACertStatus = 1.3.6.1.2.1.9999.1.2.5.2.1.7
  docsBpi2CmtsCACert = 1.3.6.1.2.1.9999.1.2.5.2.1.8

تستخدم أمثلة الأوامر في هذا المستند شكل بيضاوي (...) للإشارة إلى حذف بعض المعلومات لقبوليتها.

الحل

يعد تحديث البرنامج الثابت CM أفضل حل على المدى البعيد. يتم وصف الحلول التي تسمح لبطاقات CM المزودة بذاكرة Manu Certs منتهية الصلاحية بالتسجيل والبقاء على الإنترنت مع uBR10K في هذا المستند، ولكن يوصى باستخدام هذه الحلول البديلة فقط على المدى القصير. إذا لم يكن تحديث البرنامج الثابت CM خيارا، فإن إستراتيجية إستبدال CM هي حل جيد على المدى الطويل من منظور الأمان والعمليات. وتتناول الحلول المبينة هنا ظروفا أو سيناريوهات مختلفة ويمكن إستخدامها منفردة أو بعضها، بالاقتران مع بعضها البعض؛

• تحديث البرنامج الثابت CM
• تعيين شهادة MANU معروفة إلى موثوق بها
• إسترداد خدمة CM بعد انتهاء صلاحية وحدة التحكم الإدارية المعروفة
• تثبيت وحدة تحكم MANU منتهية الصلاحية غير معروفة على uBR10k ووضع علامة موثوق بها
• السماح بإضافة شهادات CM و MANU Certs منتهية الصلاحية بواسطة AuthInfo باستخدام أمر واجهة سطر الأوامر (CLI) uBR10k

ملاحظة: في حالة إزالة مؤشر BPI، يؤدي ذلك إلى تعطيل التشفير والمصادقة، مما يقلل من إمكانية تنفيذ ذلك كحل بديل إلى الحد الأدنى.

تحديث البرنامج الثابت CM

وفي كثير من الحالات، تقدم جهات تصنيع CM تحديثات للبرامج الثابتة CM التي تمدد تاريخ انتهاء صلاحية وحدة التحكم بالمخزون. ويعد هذا الحل هو الخيار الأفضل، كما أنه عند تنفيذه قبل انتهاء صلاحية وحدة معالجة الرسومات (MANU)، فإنه يعمل على منع آثار الخدمة ذات الصلة. يقوم قسم إدارة المحتوى (CMs) بتحميل البرنامج الثابت الجديد وإعادة تسجيله باستخدام وحدات تحكم MANU و CM الجديدة. يمكن أن تتم مصادقة الشهادات الجديدة بشكل صحيح، ويمكن أن يتم تسجيل CMs بنجاح مع uBR10K. يمكن لشهادة MANU الجديدة و CM Cert إنشاء سلسلة شهادات جديدة من جديد إلى شهادة الجذر المعروفة المثبتة بالفعل في uBR10K.

تعيين شهادة MANU معروفة إلى موثوق بها

في حالة عدم توفر تحديث البرنامج الثابت CM نظرا لانتهاء صلاحية مصنع CM، أو عدم توفر دعم إضافي لنموذج CM، إلخ، يمكن وضع علامة إستباقية على وحدات التحكم الإدارية المعروفة مسبقا على uBR10k والتي تحتوي على تواريخ انتهاء صلاحية في المستقبل القريب موثوق بها في uBR10k قبل انتهاء الصلاحية. يمكن العثور على الرقم التسلسلي لوحدة التحكم كبيرة السعة وتاريخ انتهاء الصلاحية والحالة باستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K. يمكن العثور على الرقم التسلسلي لبروتوكول MANU Cert وحالة الثقة والفهرس باستخدام بروتوكول SNMP.

يتم عادة تعلم وحدات الإدخال/الإخراج (MANU) المعروفة لأجهزة المودم المستخدمة حاليا في الخدمة والمتواصلة عبر الإنترنت بواسطة uBR10K من CM من خلال بروتوكول واجهة الخصوصية لأساس DOCSIS (BPI). تحتوي رسالة معلومات المصادقة التي تم إرسالها من CM إلى uBR10K على شهادة MANU. يتم تخزين كل وحدة تخزين فريدة في ذاكرة uBR10K ويمكن عرض المعلومات الخاصة بها باستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K وبروتوكول إدارة شبكة الاتصال البسيط (SNMP).

عندما يتم وضع علامة على MANU CERT كعنصر موثوق، فإن ذلك يؤدي إلى أمرين مهمين. أولا، يسمح لبرنامج uBR10K BPI بتجاهل تاريخ الصلاحية الذي انتهت صلاحيته. وثانيا، يقوم بتخزين وحدة التحكم بالمانو كما هو موثوق به في ذاكرة الوصول العشوائي غير المتطايرة (NVRAM) طراز uBR10k. وهذا يحافظ على حالة وحدة المعالجة المركزية (MANU) عبر إعادة تحميل uBR10K ويقلل من الحاجة إلى تكرار هذا الإجراء في حالة إعادة تحميل uBR10K

توضح أمثلة أوامر واجهة سطر الأوامر (CLI) و SNMP كيفية تعريف فهرس آلية مانو والرقم التسلسلي وحالة الثقة، ثم إستخدام تلك المعلومات لتغيير حالة الثقة إلى موثوق بها. وتركز الأمثلة على وحدة طرفية واحدة مع الفهرسة 5 والرقم التسلسلي 45529C2654797E1623C6E723180A9E9C.

عرض العديد من معلومات التحقق من واجهة سطر الأوامر uBR10K

في هذا المثال، يتم إستخدام أوامر واجهة سطر الأوامر (CLI) uBR10K لعرض شهادات تشفير PKI وإظهار خصوصية الكبل الخاص بالشركة المصنعة-cert-list لعرض معلومات مصدر المانو المعروفة.

UBR10K-01#telnet 127.0.0.81
Trying 127.0.0.81 ... Open

clc_8_1>en
clc_8_1#show crypto pki certificates
CA Certificate
  Status: Available
  Certificate Serial Number: 45529C2654797E1623C6E723180A9E9C
  Certificate Usage: Not Set
  Issuer:
    cn=DOCSIS Cable Modem Root Certificate Authority
    ou=Cable Modems
    o=Data Over Cable Service Interface Specifications
    c=US
  Subject:
    cn=Arris Cable Modem Root Certificate Authority
    ou=Suwanee\
     Georgia
    ou=DOCSIS
    o=Arris Interactive\
     L.L.C.
    c=US
  Validity Date:
    start date: 20:00:00 EDT Sep 11 2001
    end   date: 19:59:59 EDT Sep 11 2021
  Associated Trustpoints: 0edbf2a98b45436b6e4b464797c08a32f2a2cd66
clc_8_1#exit

[Connection to 127.0.0.81 closed by foreign host]

uBR10K-01#show cable privacy manufacturer-cert-list
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Chained  <-- Cert Trust State is Chained
Source: Auth Info    <-- CertSource is Auth Info
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C  <-- Serial Number
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

عرض معلومات شهادة MANU باستخدام SNMP من جهاز بعيد

معرفات بروتوكول SNMP ذات الصلة uBR10K:

docsBpi2CmtsCACertTable = 1.3.6.1.2.1.9999.1.2.5.2.1
docsBpi2CmtsCACertSubject = 1.3.6.1.2.1.9999.1.2.5.2.1.2
docsBpi2CmtsCACertIssuer = 1.3.6.1.2.1.9999.1.2.5.2.1.3
docsBpi2CmtsCACertSerialNumber = 1.3.6.1.2.1.9999.1.2.5.2.1.4
docsBpi2CmtsCACertTrust = 1.3.6.1.2.1.9999.1.2.5.2.1.5
docsBpi2CmtsCACertSource = 1.3.6.1.2.1.9999.1.2.5.2.1.6

في هذا المثال، يتم إستخدام الأمر snmpWalk لعرض المعلومات في جدول التحقق من وحدة التخزين المؤقتة uBR10k. يمكن ربط الرقم التسلسلي المعروف في قائمة مانو Manu بمؤشر Manu Cert، الذي يمكن إستخدامه لتعيين حالة الثقة. تعتمد أوامر SNMP وتنسيقاته المحددة على الجهاز ونظام التشغيل المستخدم لتنفيذ أمر/طلب SNMP. 

Workstation-1$snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.1 = STRING: "Data Over Cable Service Interface Specifications"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.2 = STRING: "tComLabs - Euro-DOCSIS"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.3 = STRING: "Scientific-Atlanta\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.4 = STRING: "CableLabs\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.1 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.2 = STRING: "Euro-DOCSIS Cable Modem Root CA"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.3 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.4 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.1 = Hex-STRING: 58 53 64 87 28 A4 4D C0 33 5F 0C DB 33 84 9C 19
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.2 = Hex-STRING: 63 4B 59 63 79 0E 81 0F 3B 54 45 B3 71 4C F1 2C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.3 = Hex-STRING: 57 BF 2D F6 0E 9F FB EC F8 E6 97 09 DE 34 BC 26
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.4 = Hex-STRING: 26 B0 F6 BD 1D 85 E8 E8 E8 C1 BD DF 17 51 ED 8C
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.3 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.4 = INTEGER: 3
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 3 <-- Trust State (3 = Chained)
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.1 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.2 = INTEGER: 4
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.3 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.4 = INTEGER: 5
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 5 <-- Source authentInfo (5)

تعيين حالة ثقة وحدة التحكم بالمخزون المعروفة التي انتهت صلاحيتها إلى "موثوق به" باستخدام SNMP

قيم OID: docsBpi2CmtsCACertTrust 1.3.6.1.2.10.127.6.1.2.5.2.1.5 (OID على uBR10k هو 1.3.6.1.2.1.999.1.2.5.2.5)

1 : موثوق به
2 : غير موثوق به
3 : السلسلة
4 : الجذر

يوضح المثال حالة الثقة التي تم تغييرها من السلسلة إلى الثقة ل Manu Cert مع الفهرس = 5 والرقم التسلسلي = 45529C2654797E1623C6E723180A9E9C.

Workstation-1$ snmpset -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 i 1
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1

تأكيد تغيير شهادة Manu باستخدام واجهة سطر الأوامر (CLI) طراز uBR10K أو باستخدام بروتوكول SNMP

• تغيرت قيمة الثقة من سلسلة إلى "موثوق به"
• تم تغيير قيمة المصدر إلى "SNMP"، وهو ما يشير إلى أن الشهادة تمت إدارتها آخر مرة بواسطة SNMP وليس من رسالة AuthInfo لبروتوكول BPI

Workstation-1$ snmpwalk -v 2c -c snmpstring1 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.2.5 = STRING: "Arris Interactive\\"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.3.5 = STRING: "DOCSIS Cable Modem Root Certificate Authority"
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C <-- Serial Number
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.5.5 = INTEGER: 1 <-- Trust State (3 = trusted)
...
SNMPv2-SMI::mib-2.9999.1.2.5.2.1.6.5 = INTEGER: 1 <-- Source (1 = SNMP)


uBR10K-01#show cable privacy manufacturer-cert-list 
Cable Manufacturer Certificates:

Issuer: cn=DOCSIS Cable Modem Root Certificate Authority,ou=Cable Modems,o=Data Over Cable Service Interface Specifications,c=US
Subject: cn=Arris Cable Modem Root Certificate Authority,ou=Suwanee\, Georgia,ou=DOCSIS,o=Arris Interactive\, L.L.C.,c=US
State: Trusted
Source: SNMP
RowStatus: Active
Serial: 45529C2654797E1623C6E723180A9E9C
Thumbprint: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709

إسترداد خدمة CM بعد انتهاء صلاحية وحدة التحكم الإدارية المعروفة

شهادة Manu Cert المعروفة سابقا هي شهادة موجودة بالفعل في قاعدة بيانات uBR10K، وعادة ما تكون نتيجة لرسائل AuthInfo من تسجيل CM السابق. إذا لم يتم وضع علامة "موثوق به" على شهادة Manu وكانت الشهادة تنتهي صلاحيتها، فيمكن لكافة CMs التي تستخدم شهادة Manu المنتهية صلاحيتها الاتصال لاحقا ومحاولة التسجيل ولكن يقوم uBR10K بوضع علامة "رفض" عليهم (PK) وهم غير موجودين في الخدمة. يوضح هذا القسم كيفية الاسترداد من هذه الحالة والسماح ل CMs التي انتهت صلاحيتها لأجزاء مانو بالتسجيل والبقاء في الخدمة.

التعرف على الرقم التسلسلي لقسم مانو المعروف المنتهي الصلاحية

يمكن التحقق من معلومات إختبار Manu الخاصة ب CM الملتصق في رفض(pk) باستخدام الأمر uBR10k CLI show cable modem <CM MAC address> الخصوصية.

show cable modem 1234.5678.9abc privacy verbose

MAC Address : 1234.5678.9abc
Primary SID : 4640
BPI Mode : BPI+++
BPI State : reject(kek)
Security Capabilities :
BPI Version : BPI+++
Encryption : DES-56
EAE : Unsupported
Latest Key Sequence : 1
...
Expired Certificate : 1
Certificate Not Activated: 0
Certificate in Hotlist : 0
Public Key Mismatch : 0
Invalid MAC : 0
Invalid CM Certificate : 0
CA Certificate Details :
Certificate Serial : 45529C2654797E1623C6E723180A9E9C
Certificate Self-Signed : False
Certificate State : Chained
CM Certificate Details :
CM Certificate Serial : 008D23BE727997B9D9F9D69FA54CF8A25A
CM Certificate State : Chained,CA Cert Expired
KEK Reject Code : Permanent Authorization Failure
KEK Reject Reason : CM Certificate Expired
KEK Invalid Code : None
KEK Invalid Reason : No Information

التعرف على فهرس وحدة تحكم مانو المعروفة المنتهية صلاحيتها وتعيين حالة ثقة وحدة التحكم بالمجال MANU إلى موثوق بها

أستخدم نفس أوامر واجهة سطر الأوامر (CLI) و SNMP عبر uBR10K كما هو موضح في القسم السابق لتحديد الفهرس الخاص بمنطقة التخزين المؤقت (MANU) استنادا إلى الرقم التسلسلي لمنفذ Manu.  أستخدم رقم فهرس Manu Cert الذي انتهت صلاحيته لتعيين حالة ثقة Manu Cert إلى موثوق به مع SNMP.

jdoe@server1[983]-->./snmpwalk -v 2c -c private 192.168.1.1 1.3.6.1.2.1.9999.1.2.5.2.1.4
...
1.3.6.1.2.1.9999.1.2.5.2.1.4.5 = Hex-STRING: 45 52 9C 26 54 79 7E 16 23 C6 E7 23 18 0A 9E 9C
...

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.5.5 -i 1
docsBpi2CmtsCACertTrust.5 = trusted(1)

تثبيت وحدة تحكم MANU منتهية الصلاحية غير معروفة على uBR10K ووضع علامة موثوق بها

في حالة عدم معرفة وحدة معالجة مركزية منتهية الصلاحية للخادم uBR10K، وبالتالي لا يمكن إدارتها (علامة موثوق بها) قبل انتهاء الصلاحية ولا يمكن إستردادها، يجب إضافة وحدة معالجة الرسومات إلى وحدة المعالجة المركزية (uBR10K) ووضع علامة عليها كعنصر موثوق به. يحدث هذا الشرط عندما يحاول CM غير معروف سابقا وغير مسجل على uBR10K التسجيل باستخدام شهادة Manu Cert غير معروفة ومنتهية الصلاحية.

يمكن إضافة شهادة MANU إلى uBR10K بواسطة مجموعة SNMP أو بواسطة تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة.

إضافة شهادة مانو غير معروفة منتهية الصلاحية إلى uBR10k مع SNMP

لإضافة شهادة مصنع، أضف إدخالا إلى جدول docsBpi2CmtsCACertTable. قم بتعيين هذه السمات لكل مدخل.

• docsBpi2CmtsCACertStatus 1.3.6.1.2.1.999.1.2.5.2.1.7 (يتم تعيينه على 4 لإنشاء إدخال الصف)
• docsBpi2CmtsCACert = 1.3.6.1.2.1.999.1.2.5.2.1.8 (البيانات السداسية العشرية، كقيمة شهادة X509، لشهادة X.509 الفعلية)
• docsBpi2CmtsCACertTrust 1.3.6.1.2.1.999.1.2.5.2.1.5 (يتم تعيينه على 1 لتعيين حالة Manu Cert Trust إلى موثوق بها)

يتعذر على معظم أنظمة التشغيل قبول بنود الإدخال التي تكون مطلوبة لإدخال السلسلة السداسية العشرية التي تحدد الشهادة. ولهذا السبب، يوصى بإدارة SNMP الرسومية لتعيين هذه السمات. لعدد من التراخيص، يمكن إستخدام ملف برنامج نصي، إذا كان أكثر ملائمة.

يضيف أمر SNMP والنتائج في المثال شهادة ASCII DER مرمزة ASN.1 X.509 إلى قاعدة بيانات uBR10K مع المعلمات:

Index = 11
Status = createAndGo (4)
Trust state =  trusted (1)

أستخدم رقم فهرس فريد ل MANU CERT المضاف. عند إضافة شهادة Manu منتهية الصلاحية، تكون الدولة غير موثوق بها ما لم يتم تعيينها يدويا إلى موثوق بها. إذا تمت إضافة شهادة موقعة ذاتيا، فيجب تكوين الأمر cable privacy accept-signed-certificate ضمن تكوين واجهة كبل uBR10K قبل أن يقبل uBR10K الشهادة. 

في هذا المثال، يتم حذف بعض محتوى الشهادة من أجل إمكانية القراءة، كما هو موضح بواسطة Elipsis (...). 

jdoe@server1[983]-->./setany -v2c 192.168.1.1 private 1.3.6.1.2.1.9999.1.2.5.2.1.7.11 -i 4 1.3.6.1.2.1.9999.1.2.5.2.1.8.11 - o "30 82 04 00 30 82 02 e8 a0 03 02 01 
02 02 10 43 74 98 f0 9a 7d cb c1 fa 7a a1 01 fe 97 6e 40 30 0d 06 09 2a 86 48 86 f7 0d 01 01 05 05 00 30 81 97 31 0b 30 09 06 03 55 04 06 13 02 55 53 
...
d8 26 21 f1 41 eb c4 87 90 65 2d 23 38 08 31 9c 74 16 30 05 18 d2 89 5e 9b 21 13 e3 e9 6a f9 3b 59 5e e2 05 0e 89 e5 9d 2a 40 c2 9b 4f 21 1f 1b b7 2c 
13 19 3d 56 ab 4b 09 a9 1e 62 5c ee c0 d2 ba 2d" 1.3.6.1.2.1.9999.1.2.5.2.1.5.11 -i 1
docsBpi2CmtsCACertStatus.11 = createAndGo(4)
docsBpi2CmtsCACert.11 = 
30 82  04 00   30 82  02 e8    a0 03  02 01   02 02  10 43    
74 98  f0 9a   7d cb  c1 fa    7a a1  01 fe   97 6e  40 30    
...    
f9 3b  59 5e   e2 05  0e 89    e5 9d  2a 40   c2 9b  4f 21     
1f 1b  b7 2c   13 19  3d 56    ab 4b  09 a9   1e 62  5c ee     
c0 d2  ba 2d    
docsBpi2CmtsCACertTrust.11 = trusted(1)

إضافة شهادة Manu منتهية الصلاحية أثناء تسجيل CM في واجهة سطر الأوامر

يدخل قسم Manu عادة قاعدة بيانات uBR10K بواسطة رسالة AuthInfo لبروتوكول BPI التي يتم إرسالها إلى uBR10K من CM. تتم إضافة كل وحدة تحكم مانو فريدة وصالحة يتم تلقيها في رسالة AuthInfo إلى قاعدة البيانات. إذا كان Manu Cert غير معروف ل CMTS (ليس في قاعدة البيانات) وكان لديه تواريخ صلاحية منتهية الصلاحية، يتم رفض AuthInfo ولا تتم إضافة Manu Cert إلى قاعدة بيانات uBR10K. يمكن إضافة وحدة تحكم آلية غير صالحة إلى وحدة التحكم uBR10K بواسطة AuthInfo عندما يكون تكوين الحل البديل لخصوصية الكبل مع الاحتفاظ بشهادات الفشل موجودا ضمن تكوين واجهة كبل uBR10K. وهذا يسمح بإضافة قاعدة بيانات Manu Cert منتهية الصلاحية إلى قاعدة بيانات uBR10K كقاعدة بيانات غير قابلة للتأويل. لاستخدام شهادة Manu منتهية الصلاحية، يجب إستخدام SNMP لوضع علامة عليه موثوق.

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#int Cable6/0/0
uBR10K(config-if)#cable privacy retain-failed-certificates
uBR10K(config-if)#end

عند إضافة شهادة Manu منتهية الصلاحية إلى uBR10K ووضع علامة عليها، يوصى بإزالة تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة لمنع إضافة شهادات Manu منتهية الصلاحية أخرى غير معروفة على uBR10K.

السماح بإضافة شهادات CM و MANU Certs منتهية الصلاحية بواسطة AuthInfo باستخدام أمر واجهة سطر الأوامر (CLI) uBR10k

في بعض الحالات، تنتهي صلاحية شهادة CM. لهذه الحالة، بالإضافة إلى تكوين شهادات الاحتفاظ بخصوصية الكبل الفاشلة، يلزم تكوين آخر على uBR10k. تحت كل مجال MAC uBR10K ذو صلة (واجهة الكبل)، أضف خصوصية الكبل مع تكوين فترة الصلاحية واحفظ التكوين. وهذا يتسبب في تجاهل uBR10K عمليات التحقق من فترة الصلاحية منتهية الصلاحية لكافة الشهادات CM و MANU المرسلة في رسالة AuthInfo الخاصة ب CM BPI.  

uBR10K#config t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#interface Cable6/0/0
uBR10K(config-if)#cable privacy skip-validity-period
uBR10K(config-if)#end
uBR10K#copy run start

معلومات إضافية

إعتبار تكوين واجهة الكبل/مجال MAC

يتم إستخدام أوامر تكوين فترة الصلاحية وتخطي خصوصية الكبل مع الاحتفاظ بخصوصية الكبل على مستوى مجال MAC / واجهة الكبل وهي ليست تقييدية. يمكن أن يقوم الأمر retain-failed-certificates بإضافة أي شهادة فاشلة إلى قاعدة بيانات uBR10K ويمكن أن يتخطى الأمر skip-validity-period عمليات التحقق من تاريخ الصلاحية على جميع أجزاء CM و MANU.

إعتبار حجم حزمة SNMP

يمكن أن تكون هناك حاجة إلى تكوين إضافي لبروتوكول SNMP uBR10K عند إستخدام الشهادات كبيرة الحجم. يمكن أن يكون الحصول على بيانات SNMP خاليا إذا كانت سلسلة النظام الثماني للخادم أكبر من حجم حزمة SNMP.  على سبيل المثال;

uBR10K#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
uBR10K(config)#snmp-server packetsize 3000
uBR10K(config)#end

تصحيح أخطاء شهادة Manu

يتم دعم تصحيح أخطاء Manu Cert على uBR10K باستخدام الأمر debug cable privacy ca-cert وdebug cable mac-address <cm mac-address> أوامر.  يتم شرح معلومات تصحيح أخطاء إضافية في مقالة الدعم كيفية فك ترميز شهادة DOCSIS لتشخيص حالة توقف المودم.

وثائق الدعم ذات الصلة

• أجهزة مودم الكبلات وشهادات المصنع المنتهية الصلاحية على نشرة المنتج cBR-8 - Cisco
• موجهات النطاق الترددي العام من السلسلة uBR10000 من Cisco
• الدعم التقني والمستندات - Cisco Systems