Přeskočit obsah

TR-069

Jak implementovat TR-069, ACS a vzájemnou TLS autentizaci pomocí TeskaLabs SeaCat PKI.

Tento dokument podrobně popisuje, jak implementovat zabezpečenou, vzájemně autentizovanou TLS komunikaci mezi CPE a ACS pro TR-069. Základem této technické specifikace je Technická zpráva "TR-069 CPE WAN Management Protocol Issue: 1 Amendment 6" publikovaná The Broadband Forum.

Podrobně popisuje, jak zaregistrovat CPE pomocí SCEP.

Architektura

SeaCat PKI & TR-069 architecture

Poznámky

  • TR-069 klient na CPE je HTTPS klient
  • ACS je HTTP server
  • NGINX poskytuje ukončení HTTPS a vzájemnou TLS autentizaci
  • SeaCat PKI poskytuje schopnost CA (Certifikační autorita)
  • SCEP klient na CPE používá protokol HTTP/1.0, který je předepsán specifikací SCEP

Certifikáty

Server CA Certifikát

Dlouhodobý (20+ let) X.509 certifikát, který je přednahrán do CPE během výroby. Také nazýván "důvěryhodný kořenový certifikát".

CPE CA Certifikát

Dlouhodobý (20+ let) X.509 certifikát, který je stažen do CPE pomocí SCEP nástroje. Certifikační autorita (CA) CPE je provozována SeaCat PKI. Toto je typicky jiný certifikát než Server CA certifikát.

CPE Certifikát

Krátkodobý (~ 1 rok) unikátní CPE klientský certifikát, který je generován (registrace) a obnovován během životního cyklu CPE pomocí SCEP. Je generován certifikační autoritou SeaCat PKI, pomocí CPE CA certifikátu, na základě SCEP žádosti z CPE (registrace nebo obnova). Soukromý klíč CPE je generován a uložen na CPE. Také nazýván "klientský certifikát".

Server Certifikát

Vydán Server CA na 3 měsíce, pravidelně obnovován.

Podrobné CPE ceremonie pro unikátní CPE klientský certifikát

Ceremonie jsou zpracovávány pomocí SCEP.

Registrace

Toto je počáteční ceremonie, která získává první klientský certifikát pro CPE.

Spuštěno: Po dostupnosti síťového připojení CPE, může být spuštěno pravidelně.

Předpoklad: CPE nemá klientský certifikát.

  1. CPE generuje pár soukromého/verejného klíče (CPK)
  2. CPE generuje žádost o podepsání certifikátu (CSR) pomocí CPK
  3. CPE odesílá CSR na SeaCat PKI přes HTTPS PUT volání (klientský certifikát není potřeba).
  4. Odpověď obsahuje Klientský certifikát nebo chybový kód.
  5. Pokud dojde k chybě, ceremonie registrace se restartuje po 1 minutě.
  6. Klientský certifikát je uložen na trvalém úložišti CPE a používán s CPK pro TR-069 / HTTPS volání na ACS.

Podrobnosti CSR:

  • Hodnota pole CN v CSR (a klientském certifikátu) MUSÍ být globálně unikátní pro každé CPE. Konkrétně, pole CN MUSÍ dodržovat formát doporučený pro uživatelské jméno/id v TR-069 CPE WAN Management Protocol Issue: 1 Amendment 6 Section 3.4.4.

Obnova

Toto je pravidelná ceremonie, která obnovuje klientský certifikát, když se blíží konec jeho životního cyklu.

Spuštěno: Po dostupnosti síťového připojení CPE a pravidelně 4x denně.

Předpoklad: CPE má klientský certifikát (i když vypršel).

  1. CPE kontroluje, zda se klientský certifikát blíží k vypršení nebo již vypršel
  2. Pokud klientský certifikát vyprší, CPE generuje nový CSR
  3. CPE odesílá CSR na SeaCat PKI přes HTTPS PUT volání (klientský certifikát není potřeba).
  4. Odpověď obsahuje Klientský certifikát nebo chybový kód.
  5. Pokud dojde k chybě, tato ceremonie se restartuje po 1 minutě, když je klientský certifikát vypršel, nebo po 4 hodinách, když ještě nevypršel.
  6. Klientský certifikát je uložen na trvalém úložišti CPE a používán s CPK pro TR-069 / HTTPS volání na ACS.

Poznámka: Požadavky na CSR jsou stejné jako pro Registraci.

Poznámka: Ceremonie obnovy je velmi podobná registraci.

Tok komunikace

SeaCat PKI & TR-069 Flow

HTTPS/TLS specifikace

  • TLS v1.2+
  • RSA 2048 pro CPE
  • RSA 4096 pro Server
  • RSA 8192 pro CA
  • TLS_RSA_WITH_AES_128_CBC_SHA

Reference