注意:從 2023 年 3 月 31 日開始,思科不再爲思科 SD-WAN 贊助 Symantec/Digicert 控制器 X.509 證書,因此思科將不再簽署和發佈 Symantec/Digicert 證書。現有的思科 SD-WAN Symantec/Digicert 控制器證書將在這些證書到期之前有效,屆時所有思科 SD-WAN 控制連接都將失敗。請在證書到期前遷移到 Cisco PKI 證書或企業 CA 證書。如果直接從 Digicert 購買,然後在 vManage 20.3.6、20.6.4、20.7.1 及更高版本上使用企業 CA 證書方法手動安裝,則仍然可以使用 Symantec/Digicert 證書。
Cisco PKI 是推薦的控制器證書方法。要協助從 Symantec/Digicert 遷移,請參考如下視頻/文檔
https://www.youtube.com/watch?v=tCWYo6u_H5Q
https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/sd-wan/digi-pki-cert-migra-guide.pdf
Authorized List Model
所有 WAN Edge 設備和控制器使用授權列表模型相互驗證,其中設備必須先獲得授權才能訪問網絡。
vManage 分發了兩個授權列表,一個用於控制器,一個用於 WAN Edge 設備。
- 授權控制器列表:授權控制器列表是管理員將控制器手動添加到vManage 用戶界面的結果。該列表可以從 vManage 分發到所有控制器,然後從 vBond 分發到 vSmart 控制器。
- WAN Edge 設備的授權序列號列表:可以從 https://software.cisco.com/#pnp-devices 的即插即用連接門戶檢索 WAN Edge 設備的數字簽名授權序列號列表。
該列表可以手動檢索,也可以由具有有效思科 CCO 帳戶的用戶從 vManage 自動同步,該帳戶可以訪問 SD-WAN Overlay的正確智能帳戶和虛擬帳戶。文件上傳或同步到 vManage 後,由 vManage 分發到所有控制器。
技術提示:從 vManage 版本 20.3.1 開始支持使用 .CSV 文件的廣域網邊緣路由器的未簽名授權序列號列表,該版本不需要訪問即插即用連接門戶。
控制器身份
控制器身份由 Symantec/DigiCert 或 Cisco 簽名的證書或企業 CA 證書提供。網絡中的每個控制器都必須簽署並安裝設備證書。此外,在安裝控制器證書之前,還必須爲每個控制器安裝相應 CA 的根證書鏈。存在其他根證書鏈是爲了信任其他 SD-WAN 控制器和軟件設備的設備證書。大多數根證書是預加載或自動安裝的,而其他證書(如企業根 CA)必須由管理員安裝。
WAN 邊緣路由器標識
- vEdge 硬件路由器的身份由 Avnet 簽名的設備證書提供,該證書在製造過程中生成並刻錄到可信平臺模塊 (TPM) 芯片中。 TPM 中還存在 Avnet 根證書鏈。 Symantec/DigiCert 和 Cisco 根證書預加載在軟件中以信任控制器的證書。額外的根證書可以手動加載,由 vManage 自動分發,或在自動配置過程中安裝。
- IOS XE SD-WAN 硬件路由器的身份(ASR 1002-X 除外)由安全唯一設備標識符 (SUDI) 提供,它是與受硬件保護的密鑰對關聯的 X.509v3 證書(信任錨模塊,或 TAm)。 TAm 中還存在 SUDI 設備證書的根證書鏈。 Symantec/DigiCert 和 Cisco 根證書預加載在軟件中以信任控制器的證書。額外的根證書可以手動加載,由 vManage 自動分發,或在自動配置過程中安裝。
- vEdge 雲路由器、ISRv 路由器、Catalyst 8000V、CSR1000v 路由器和 Cisco ASR 1002-X 路由器沒有預裝設備證書。每臺設備都使用由 vManage 生成並在設備部署期間配置的一次性密碼 (OTP)/令牌,用於臨時身份。一旦設備通過臨時身份驗證,vManage 將提供一個永久身份,它可以作爲證書頒發機構 (CA) 爲這些設備生成和安裝證書。
下圖說明了爲控制器和 IOS XE SD-WAN 路由器安裝的設備證書和根證書的子集。在此示例中,Cisco PKI 證書安裝在控制器上。
在此示例中,爲控制器身份安裝了思科設備證書,思科根證書鏈用於信任其他控制器證書,Viptela 根證書鏈用於信任雲路由器和 IOS XE SD-WAN 路由器(沒有 SUDI )證書。對於 IOS XE-WAN 路由器,Cisco 設備證書在製造期間加載到硬件中,並且 Cisco 根證書鏈存在於軟件中以信任控制器證書。
請注意,安裝在控制器上的證書和安裝在 TAm 中的證書均由 Cisco 頒發,但它們不共享相同的 CA 根鏈,因此它們的 CA 根鏈不能用於驗證或信任對方。
Certificates
在控制器可以在 SD-WAN 覆蓋網絡中運行之前,每個控制器必須同時具有根證書和已簽名並安裝的控制器證書。除非使用企業 CA,否則根證書會預安裝在控制器上,在這種情況下,需要先安裝根證書,然後才能安裝控制器證書。對於控制器證書,當控制器添加到 vManage 時,或由管理員通過 vManage GUI 啓動時,將爲每個控制器生成證書籤名請求 (CSR)。然後提交併簽署每個 CSR,然後檢索簽署的證書並將其安裝在相應的控制器上。
有多種方法可以完成控制器證書籤名和安裝過程:(請注意,自 2023 年 3 月 31 日起,不再支持通過 Symatec/Digicert 選項進行的自動和手動第三方證書籤名。)
1. 自動 Cisco PKI 證書籤名(推薦):此選項至少需要 vManage 版本 19.1。爲每個控制器生成一個 CSR,並自動發送到 Cisco PKI 證書服務器。簽名完成後,vManage 會自動檢索每個簽名證書並將其安裝在相應的控制器上。請注意,根證書默認安裝在每個控制器上。
2. 手動 Cisco PKI 證書籤名:此選項需要 vManage 版本 19.1。爲每個控制器生成一個 CSR,並在本地複製或下載。使用上一步中生成的 CSR,通過思科軟件中心 > 即插即用連接 > 證書門戶手動爲每個控制器申請單獨的證書,網址爲 https://software.cisco.com/#pnp-certificates。簽名完成後,管理員可以下載證書,然後將每個證書上傳到 vManage。 vManage 在各自的控制器上安裝每個證書。請注意,根證書默認安裝在每個控制器上。
3. 企業根證書頒發機構 (CA):客戶可以使用自己的 CA 服務器來簽署控制器證書。此方法類似於手動 Cisco PKI 證書籤名方法,因爲控制器不支持使用簡單證書註冊協議 (SCEP) 自動註冊到企業 CA。此外,作爲第一步,企業 CA 根證書安裝在 vManage 上,它可以自動將根證書分發給其他控制器。安裝根證書後,將爲每個控制器生成一個 CSR,並在本地複製或下載。爲每個控制器向企業根 CA 提出單獨的證書請求,提交在上一步中生成的 CSR。簽名後,管理員可以將生成的證書上傳到 vManage。 vManage 將在各自的控制器上安裝每個證書。
選擇方法
推薦的方法是自動 Cisco PKI 證書籤名方法(選項 1),從 vManage 版本 19.1 開始支持這種方法(建議使用 19.2 或更高版本)。此方法簡化了流程,因爲它只需要一個步驟,即由管理員發起的 CSR 生成。如果 vManage 無法訪問 Internet,則可以改用手動 Cisco PKI 方法(選項 2)。
請注意,使用 Cisco PKI 方法時,您需要確保 WAN Edge 設備安裝了 Cisco 根證書,以便信任控制器設備證書。如果未加載此證書,身份驗證將失敗,並且 WAN Edge 設備無法啓動到Overlay網絡。從 17.2.2 版本開始,Cisco 根證書被捆綁到 IOS XE SD-WAN 路由器的軟件中。從 18.4.6、19.2.4、20.1.2 和 20.3.2 及更高版本的版本開始,它也一直捆綁到 vEdge 路由器的軟件中。在使用 Cisco PKI 證書加入帶有控制器的 SD-WAN Overlay網絡之前,請確保您至少在 WAN Edge 路由器上運行這些版本中的一個。或者,如果未預安裝思科根證書,則可以手動加載或通過自動配置 (PnP/ZTP) 獲取這些證書。您可以使用 Symantec/DigiCert 證書從 SD-WAN 覆蓋遷移到 Cisco PKI 證書,並且 Cisco 根證書會自動從 vManage 分發到 WAN Edge 路由器。控制器必須在 19.x 代碼和更高版本上,並且廣域網邊緣路由器必須具有到 vManage 的控制連接才能使其工作。
對於需要CA Root Cert的用戶(選項 3)或運行低於 19.1 的 vManage 版本的用戶,企業 CA 是一個選項。此選項需要在廣域網邊緣設備上安裝企業根證書,手動或通過自動配置 (PnP/ZTP)。
下表總結了每種證書類型的不同 SD-WAN 組件的軟件要求。請注意,雖然 16.12.3/16.10.4/17.x IOS-XE 和 19.2.3 ViptelaOS 是支持 Cisco PKI 集成所需的最低軟件版本,但有些版本的代碼沒有將 Cisco PKI 根證書捆綁在軟件中,如果控制器正在運行 Cisco PKI 證書並且未提前加載相應的根證書,這將阻止 WAN 邊緣路由器加入Overlay網絡。該表反映了 PKI 支持以及軟件中包含 Cisco PKI 根證書的最低代碼版本:
控制平面授權
在允許訪問網絡之前,所有 WAN Edge 設備和控制器都需要已知並獲得授權。這是通過 vManage 分發的兩個授權列表實現的——一個用於控制器,一個用於 WAN Edge 設備。
1.授權控制器名單
當控制器相互驗證時,檢查部分是確保它們嘗試驗證的控制器的證書序列號列在從 vManage 分發的授權列表中。只有 vBond 控制器未根據授權列表進行檢查,但控制器設備配置有 vBond IP 地址或域名,並且它是他們驗證的第一個控制器。當控制器設備添加到 vManage GUI 中時,該列表會自動創建併發送給控制器,其中包括每個控制器的證書序列號。當建立連接時,該列表也由 vBond 分發。
2.WAN Edge 授權序列號列表
當控制器向廣域網邊緣路由器進行身份驗證時,檢查部分是讓控制器確保它們嘗試進行身份驗證的Edge路由器的證書序列號列在從 vManage 分發的廣域網邊緣授權序列號列表中.此列表包括每個 WAN Edge 設備的證書序列號,可以從 https://software.cisco.com/#pnp-devices 的即插即用 (PnP) 連接門戶檢索。 WAN Edge 路由器在訂購時與智能賬戶 (SA) 和虛擬賬戶 (VA) 相關聯,並且設備信息在發貨後會自動傳輸到 PnP 門戶。此外,管理員可以爲任何尚未列出的設備修改列表。管理員可以讓 vManage 同步到門戶以檢索此信息,或者管理員可以手動下載列表並將其上傳到 vManage。