Kabelmodem Hitron CDA-32372

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
robert_s schrieb:
Das Ergebnis dazu finde ich nicht in diesem Thread. Hast Du die EuroDOCSIS-Zertifikate angeschaut, ob die korrekt sind? Bitte ggf. nachholen, wenn noch möglich.
Zum Vergrößern anklicken....

Hier mal eine Info zu den Zertifikaten des Hitron.

"Auch bei diesem Model gibt es ein Missmatch zwischen Hersteller(intel)- und CM(hitron)-Zertifikat"
Code: 
~/hitron_cm $ openssl x509 -inform der -in mfg_cert.bin -serial -issuer -subject -noout
serial=5952251CF5FC8C389B876EC8FD8920DE
issuer= /C=BE/O=tComLabs - Euro-DOCSIS/OU=Cable Modems/CN=Euro-DOCSIS Cable Modem Root CA
subject= /C=IL/ST=Petach-Tikva/L=Petach-Tikva/O=Intel Corporation/OU=Euro-DOCSIS/OU=Intel Israel/CN=Intel Corporation Cable Modem Root Certificate Authority
~/hitron_cm $ openssl x509 -inform der -in cm_cert.bin -serial -issuer -subject -noout
serial=424331343031433745354535
issuer= /C=TW/O=Hitron Technologies/OU=Euro-DOCSIS/CN=Hitron Technologies Cable Modem Root Certificate Authority
subject= /C=TW/O=Hitron Technologies/OU=No. 40, Wu-kung 5th Rd., Wu-ku, Taipei Hsien, Taiwan/CN=BC:14:01:C7:E5:E5

"Auf dem CM befindet sich fuer EuroDOCSIS wirklich nur das eine Herstellerzertifikat von Intel. Fuer US-DOCSIS passt das Herstellerzertifikat zum CM-Zertifikat"
Code: 
# ls -la /etc/docsis/security/euro_mfg_cert.cer
-rwxrwxrwx    1      1034 /etc/docsis/security/euro_mfg_cert.cer
# ls -la /nvram/1/security/
lrwxrwxrwx    1        41 mfg_key_pub.bin -> /etc/docsis/security/euro_mfg_key_pub.bin
lrwxrwxrwx    1        25 cm_cert.cer -> download/euro_cm_cert.cer
lrwxrwxrwx    1        38 mfg_cert.cer -> /etc/docsis/security/euro_mfg_cert.cer
lrwxrwxrwx    1        24 cm_key_prv.bin -> download/euro_cm_key.bin
drwxr-xr-x    2         0 download
lrwxrwxrwx    1        42 root_pub_key.bin -> /etc/docsis/security/euro_root_pub_key.bin
drwxr-xr-x    5         0 ..
drwxr-xr-x    3         0 .



# ls -la /etc/docsis/security/
-rwxrwxrwx    1       270 root_pub_key.bin
-rwxrwxrwx    1       842 mfg_cert.cer <== US-DOCSIS Hersteller-Zertifikat von Hitron
-rwxrwxrwx    1       270 euro_root_pub_key.bin
-rwxrwxrwx    1      1034 euro_mfg_cert.cer <== EuroDOCSIS Hersteller-Zertifikat von Intel
drwxrwxrwx    3        56 ..
drwxrwxrwx    2       113 .

Infos aus dem KDG Forum
 
MichaelNRW schrieb:
Hier mal eine Info zu den Zertifikaten des Hitron.
[...]
Infos aus dem KDG Forum
Zum Vergrößern anklicken....
Ah, Danke. Der Thread muss an mir vorbeigegangen sein. Im offiziellen Vodafone-Forum hat auch mal jemand den Inhalt der Zertifikate seines CDA-32372 gepostet:

https://forum.vodafone.de/t5/Internet-Telefon-TV-über-Kabel/kabelmodemaktivieren-vodafone-de-Portal-funktioniert-nicht/td-p/1305336

und da sieht man den gleichen Fehler: Gerätezertifikat ist von einem Hitron-Herstellerzertifikat unterzeichnet, aber das Gerät liefert ein Intel-Herstellerzertifikat mit.

Da hätte man sich die müßigen Diskussionen über Vodafone sparen können - die haben recht, wenn sie das Gerät so nicht akzeptieren.

Fragt sich noch, warum man überhaupt bis zum Aktivierungsportal kommt: Vorher muss sich das Gerät ja erst mal beim CMTS "ausweisen", und da kann es ja auch nur das falsche Herstellerzertifikat vorlegen.

Ich würde mal auf einen Zertifikatscache im CMTS tippen: Das CMTS fragt das Herstellerzertifikat vom Modem ab, prüft das gegen das EuroDOCSIS-Root-Zertifikat (und idealerweise auch gegen die Certificate Revocation List, Gruß an AVM) und wenn das in Ordnung ist, wandert das Zertifikat in den Cache. Dann wird das Gerätezertifikat vom Modem geholt, und der Cache nach dem dort referenzierten Herstellerzertifikat gefragt. Da viele OEM-Geräte von Hitron im Umlauf sind, wird da mit hoher Wahrscheinlichkeit das richtige Zertifikat schon drin liegen - von einem anderen Hitron-Gerät geliefert. Dann lässt sich die Zertifikatskette prüfen und das Modem wird akzeptiert. Ob das Gerät eine in sich stimmige Zertifikatskette liefert, wird offenbar nicht geprüft. Das macht dann wohl erst das Aktivierungsportal.

Unitymedia hat entweder so eine genauere Prüfung nicht, oder drückt ein Auge zu. Kann man machen, muss man aber nicht. Ist, als ob man dem Beamten bei der Einreise in ein anderes Land sagt, man wäre chinesischer Staatsbürger, und dann einen bundesdeutschen Reisepass vorlegt. Der kann sagen "Die Angabe ist zwar falsch, aber einen gültigen deutschen Reisepass (er)kenne ich trotzdem" - oder eben auch "Wer mir so einen Quatsch erzählt, darf hier nicht rein"...

Ich sehe hier Hitron in der Pflicht, ein Firmware-Update mit dem korrekten Zertifikat nachzuliefern. Sieht mir allerdings nicht so aus, dass Hitron überhaupt einen entsprechenden Support-Kontakt hätte, bei dem man mal anfragen könnte.

Alternativ könnte man auch versuchen, sich das Herstellerzertifikat selbst zu besorgen (ist ja nichts "Geheimes"), z.B. aus einem anderen Modell (wo man freilich erst mal "reinkommen" können müsste), und das dann selbst in das CDA-32372 einzupflanzen...
 
robert_s schrieb:
Alternativ könnte man auch versuchen, sich das Herstellerzertifikat selbst zu besorgen (ist ja nichts "Geheimes"), z.B. aus einem anderen Modell (wo man freilich erst mal "reinkommen" können müsste), und das dann selbst in das CDA-32372 einzupflanzen...
Zum Vergrößern anklicken....

Genau das möchte ein Kollege von KDG Vodafone nun ausprobieren.

Von Hitron dürfen wir keine Unterstützung erwarten.
Das hatte ich seinerzeit schon probiert.
Bis hin zum Kontaktversuch über befreundete Geschäftsleute aus Hong Kong, keine Chance!


Gruß
Michael
 
PeterPawn schrieb:
@tetzlav:
Was ist eigentlich aus Deinem Modem geworden? Wurde das nun provisioniert oder nicht? Hattest Du das auf "production mode" gebracht?
[...]
Zum Vergrößern anklicken....

Ich hab leider keine Benachrichtigungen mehr von der Forensoftware erhalten...
Das Modem hab ich wieder verkauft, weil mir schnell klar wurde, dass das bei VFK eh nichts wird. Dump hab ich leider nicht gemacht.
 
MichaelNRW schrieb:
Nachtrag zum Hitron bei Vodafone:
Zum Vergrößern anklicken....
Hmm, eigentlich gehört es sich nicht, private Nachrichten in ein öffentliches Forum zu kopieren - es sei denn, der Verfasser hat dem ausdrücklich zugestimmt?

Ansonsten wäre es netter gewesen, nur die wesentlichen Inhalte zusammengefasst wiederzugeben, also a la "Es lag nicht nur am falschen Zertifikat, sondern auch an einer fehlenden DHCP-Option (43), welche die Schnittstellenspezifikation vorschreibt." Das hätte auch alles wichtige wiedergegeben, ohne die "Privatsphäre" zu verletzen...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 777 (Mitglieder: 32, Gäste: 745)

Neueste Beiträge

Statistik des Forums

Themen
246,171
Beiträge
2,247,421
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück