IOS-XR: QuoVadis のルート証明書廃止による影響と対策

kaztaked · ‎2022-03-17

はじめに
影響
ワークアラウンドと解決策
参考情報

はじめに

2021年3月31日、 QuoVadis のルート認証局である PKI Root CA 2 が廃止されました。

Cisco のクラウドサーバーにおいても、 QuoVadis を使用しているものがあり、IOS-XR デバイスに関わるものでは

スマートライセンス/スマートコールホームのサービスを提供する tools.cisco.com
スマートライセンスのサービスを提供する smartreceiver.cisco.com

の2つのサーバーが、サーバー証明書おいて QuoVadis の PKI Root CA 2 を利用していました。

これらのサーバーでは QuoVadis をルート認証局とするサーバー証明書が失効すると、 IdenTrust Commercial Root CA 1 をルート認証局とするものに証明書が変更されます。

なお、tools.cisco.com は2022年2月5日にすでに失効しており IdenTrust Commercial Root CA 1 をルート認証局とする証明書に移行しております。

smartreceiver.cisco.com は2023年1月26日に失効します。

影響を受けるバージョンの IOS-XR デバイスには IdenTrust Commercial Root CA 1 をルート認証局として信頼する設定が無いため、 Cisco のクラウドサーバーの新しいサーバー証明書を信頼できず、 HTTPS 通信などの SSL/TLS 通信が失敗します。

こちらの Field Notice に詳細が記載されているためご一読ください。

Field Notice: FN - 72290 - Cisco IOS XR: QuoVadis Root CA 2 Decommission Might Affect Smart Licensing and Smart Call Home Functionality - Workaround Provided

https://www.cisco.com/c/en/us/support/docs/field-notices/722/fn72290.html

影響

IOS-XR デバイスの場合、影響を受けるバージョンの機器は Cisco がクラウドサーバーで提供するスマートライセンスおよびスマートコールホームサービスに接続できなくなります。スマートライセンスはエンタイトルメントに失敗し、 "Out of Compliance" というステータスが表示される場合があります。SSM On-Premを使用している場合は影響ありません。

スマートライセンスを使用する機能自体は、最後にサーバーへの通信が成功してから最大 1 年間機能し続けますので、突然機能が利用できなくなるといったことはありません。

スマートライセンスにおける影響

スマートライセンスへの影響には次のようなものがあります。

最後にスマートライセンスサーバーへの接続が成功してから30日以内に、サーバーとの通信が発生し、失敗する可能性があります。
90日以内にスマートライセンスサーバーとの通信がない場合、"Authorization Expired "といったステータスになります。
1年間スマートライセンスサーバーとの通信がなく、ライセンス機能の利用が停止した場合、デバイスは "Unregistered" の状態になります。

また、ライセンス登録の通信が失敗した際は以下のような syslog が出力されます。

RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %LICENSE-SMART_LIC-3-COMM_FAILED : Communications failure with the Cisco Smart Software Manager (CSSM) : Fail to send out Call Home HTTP message
RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %LICENSE-SMART_LIC-3-AGENT_REG_FAILED : Smart Agent for Licensing Registration with the Cisco Smart Software Manager (CSSM) failed: Fail to send out Call Home HTTP message

7.0.1 から 7.3.1 までのバージョンでは、CSCvx87275 の修正を含んだ SMU が適用されていない場合、
スマートライセンスの syslog には、以下の例のように "LICENSE-" が含まれません。

RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %SMART_LIC-3-COMM_FAILED : Communications failure with the Cisco Smart Software Manager (CSSM) : Fail to send out Call Home HTTP message
RP/0/RP0/CPU0:Feb 22 10:00:07.962 UTC: smartlicserver[127]: %SMART_LIC-3-AGENT_REG_FAILED : Smart Agent for Licensing Registration with the Cisco Smart Software Manager (CSSM) failed: Fail to send out Call Home HTTP message

スマートコールホームにおける影響

スマートコールホームにおいては以下のような syslog が出力されます。

RP/0/RP0/CPU0:Feb 22 09:57:36.246 UTC: http_client[255]: %SECURITY-XR_SSL-3-CERT_VERIFY_ERR_2_PARAM : SSL certificate verify error: Peer certificate verification failed - no trusted cert 'Crypto Engine' detected the 'warning' condition 'Invalid trustpoint or trustpoint not exist'

ダウンロードに失敗した場合は以下のような syslog が出力されます。

RP/0/RP0/CPU0:Feb 22 09:57:24.025 UTC: cepki[279]: %SECURITY-PKI-6-ERR_1_PARAM : Download failed, HTTP returned an error

ワークアラウンドと解決策

IOS-XR デバイスで、 IdenTrust Commercial Root CA 1 を信頼できるルート認証局として登録する必要があります。

名前解決ができ、インターネットへの接続が可能な IOS-XR デバイスでは、以下の URL からルート証明書の情報を取得できます。

http://www.cisco.com/security/pki/trs/ios.p7b

また、インターネットへの接続がない環境のワークアラウンドもあります。

各種ワークアラウンドについては Field Notice の Workaround/Solution のセクションに記載があるのでご確認ください。

https://www.cisco.com/c/en/us/support/docs/field-notices/722/fn72290.html

Workaround の Option3 について補足をいたしますと、

crypto ca trustpool import url /tmp/pki_bundle_0.p7b

上記のコマンドは、ローカルのファイルパスを指定する際は /tmp ディレクトリしか指定できないため、 SCP などで ios.p7b を IOS-XR デバイスに転送したのち、 /tmp ディレクトリにコピーする必要があります。

以下の手順で実施してください。

! ios.p7b のファイルパスを確認。 harddisk: 配下にファイルを転送した場合のコマンドです。
# dir harddisk:
Directory of harddisk:
<snip>
   73 -rw-r--r--.  1   117245 Mar  3 16:47 ios.p7b  << ios.p7bがあることを確認
<snip>
! /harddisk: にある ios.p7b を /tmp ディレクトリにコピー
# run cp /harddisk:/ios.p7b /tmp
! ios.p7b をインポート
# crypto ca trustpool import url /tmp/ios.p7b
! /tmp にある ios.p7b を削除
# run rm /tmp/ios.p7b

また、上記 FN に記載されているワークアラウンドのほかに、
ターミナルから IdenTrust Commercial Root CA 1 の証明書を PEM 形式で入力して追加する方法がありますので、そちらの紹介もさせていただきたいと思います。

※こちらの手順は IOS-XR デバイスをリロードすると証明書情報が消えてしまうため、恒久対策は Field Notice に記載されている Workaround を実施してください。

1． IdenTrust Commercial Root CA 1 の PEM 形式の証明書データを入手します。
以下のサイトにあります。
https://www.identrust.com/identrust-commercial-root-ca-1

以下に同じ内容の証明書データを記載しますので適宜ご利用ください。

ターミナルから証明書情報を入力できるように config 変更

# configure terminal
(config)#crypto ca trustpoint Trustpool
(config-trustp)#enrollment terminal
(config-trustp)#commit
(config-trustp)#exit
(config)#exit

ターミナルから証明書情報を入力します。

以下のコマンドを入力します。

# crypto ca authenticate Trustpool

以下のダイアログが出てきますので、1. の PEM 形式の証明書データを"-----BEGIN CERTIFICATE-----"から"-----END CERTIFICATE-----"までコピーして貼り付けます。

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

エンターを押すと証明書の情報が出力され確認ダイアログが出てきますので、 yes と入力してください。

  Serial Number  : 0A:01:42:80:00:00:01:45:23:C8:44:B5:00:00:00:02
  Subject:
        CN=IdenTrust Commercial Root CA 1,O=IdenTrust,C=US
  Issued By      :
        CN=IdenTrust Commercial Root CA 1,O=IdenTrust,C=US
  Validity Start : 18:12:23 UTC Thu Jan 16 2014
  Validity End   : 18:12:23 UTC Mon Jan 16 2034
  SHA1 Fingerprint:
         DF717EAA4AD94EC9558499602D48DE5FBCF03A25
Do you accept this certificate? [yes/no]:

4. 証明書が追加されたことの確認

以下のコマンドを入力して、IdenTrust Commercial Root CA 1 の証明書が追加されていることを確認してください

# show crypto ca trustpool

参考情報

Field Notice: FN - 72290 - Cisco IOS XR: QuoVadis Root CA 2 Decommission Might Affect Smart Licensing and Smart Call Home Functionality