Sem fio : Cisco Wireless Control System

Geração da solicitação de assinatura de certificado (CSR) para um certificado da terceira em um sistema de controle wireless (WCS)

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento explica como gerar uma solicitação de assinatura de certificado (CSR) a fim obter um certificado da terceira com um sistema de controle wireless (WCS) e como transferir arquivos pela rede o certificado no WCS.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento de como instalar e configurar o WCS para a operação básica

  • Conhecimento do auto-assinado e Certificados digitais, e outros mecanismos de segurança relativo ao Public Key Infrastructure (PKI)

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 4.1.91.0 WCS

    Nota: A geração CSR que usa um WCS é somente começar apoiada com versão 4.1.91.0 WCS.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Solicitação de assinatura de certificado (CSR)

Um certificado é um documento eletrónico que você use a fim identificar um server, uma empresa, ou alguma outra entidade e associar essa identidade com uma chave pública.

Um certificado auto-assinado é um certificado de identidade que seja assinado por seu próprio criador. Isto é, a pessoa que criou o certificado igualmente assinou fora em sua legalidade.

Os Certificados podem auto-ser assinados ou podem ser atestados por uma assinatura digital de um Certificate Authority (CA).

Os CA são as entidades que validam identidades e emitem Certificados. O certificado que CA emite ligamentos uma chave pública particular ao nome da entidade que o certificado identifica, como o nome de um server ou de um dispositivo. Somente a chave pública que o certificado certifica trabalhos com a chave privada correspondente possuiu pela entidade que o certificado identifica. Os Certificados ajudam a impedir o uso de chaves públicas falsificadas para a personificação.

Um CSR é uma mensagem que um candidato envie a CA a fim aplicar para um certificado de identidade digital. Antes que um CSR esteja criado, o candidato gerencie primeiramente um par de chaves, que mantenha a chave privada secreta. O CSR contém a informação que identifica o candidato, tal como um nome de diretório no caso de um certificado X.509, e a chave pública escolhida pelo candidato. A chave privada correspondente não é incluída no CSR, mas é usada para assinar digitalmente o pedido inteiro.

O CSR pode ser acompanhado de outras credenciais ou provas de identidade exigidas pelo Certificate Authority, e o Certificate Authority pode contactar o candidato para mais informações. Geralmente, uma empresa da terceira de CA, como confia ou Verisign, exige um CSR antes que a empresa possa criar um certificado digital.

A geração CSR é independente do dispositivo em que você planeia instalar um certificado externo. Consequentemente, um CSR e um arquivo-chave privado podem ser gerados em toda a máquina individual que apoiar a geração CSR. A geração CSR não é interruptor-dependente ou dispositivo-dependente neste caso.

Este documento explica como gerar o CSR para um certificado da terceira usando Cisco WCS.

Geração CSR usando um WCS

Os CSR em um WCS podem ser gerados usando uma ferramenta disponível no diretório de instalação WCS. Esta ferramenta é chamada keyadmin.bat.

Nota: Se o WCS é instalado em Linux, você terá que usar a ferramenta de keyadmin.sh disponível em /opt/WCS4.1/bin/. Este exemplo mostra como gerar um CSR e importar o certificado assinado usando um WCS instalado em um server de Microsoft Windows 2003. O usuário de raiz do WCS deve executar este procedimento de modo que o certificado possa ser gerado.

Termine estas etapas a fim alcançar a ferramenta:

  1. Vá ao comando prompt disponível com Windows.

  2. Vai o diretório de instalação WCS, então ao escaninho do dobrador.

    Aqui está um exemplo:

    C:\CD Program Files
    
    C:\Program Files>CD WCS4.1
    
    C:\Program Files\WCS4.1> cd bin
    
    C:\Program Files\WCS4.1\bin>
    

    Este dobrador terá a ferramenta keyadmin.bat que é usada para gerar o CSR.

  3. Termine estas etapas a fim gerar o CSR:

    1. Incorpore este comando:

      keyadmin -newdn -csr genkey [csrFileName]
      
      

      Isto gerencie uma chave/par novos do certificado auto-assinado, e output o CSR ao arquivo especificado. - A bandeira do newdn faz com que alerte para os campos de nome destacado para o certificado. É importante especificar o hostname final que será usado para alcançar o WCS no campo do CN do DN a fim evitar avisos do navegador.

      Aqui está um exemplo:

      C:\Program Files\WCS4.1\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM
      
      The WCS server is running
      Changes will take affect on the next server restart
      Enter the domain name of the server: TS-WEB
      Enter the name of your organizational unit: ABC
      Enter the name of your organization: XYZ
      Enter the name of your city or locality: Sanjose
      Enter the name of your state or province: CA
      Enter the two letter code for your country: US
      Generating RSA key
      Configuring Apache server for key
      Writing certificate signing request to C:\TEST\CSR-WCS.PEM
      

      Uma vez que o comando é executado, a informação CSR está gerada e redigida ao arquivo.

      A informação CSR olha como esta:

      -----BEGIN NEW CERTIFICATE REQUEST-----
      MIICnjCCAYYCAQAwWTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRAwDgYDVQQHEwdTYW
      MQwwCgYDVQQKEwNYWVoxDDAKBgNVBAsTA0FCQzEPMA0GA1UEAxMGVFMtV0VCMIIBIjANBgkq
      9w0BAQEFAAOCAQ8AMIIBCgKCAQEAkL51KTAwwE/HjKHSEoDcpNWvqv3iyGjmb5MHAl32/++Q2HqZ
      nXicY36VEscDKGYF4b+QMvR4jmRY5vwKioripPlhTKIt5xcIhESDR9k8fw62lWHV7nSu1vWF0zFn
      9NJm7X+l+2pUL8A1M5eMEq9uieVVFd5NJZOvmo11i51RJ3sjcHZhfnfO5cF2pLfHDtiA0OfPPM1P
      U2+fZ5qYTvWsZbB0hsS32xDrnEvSB5zzCpgzhNC0/BjaWq2f+uZxsATN3slL3G9upNp0dch0HKJW
      +gxboFO757f0NATZkAtg6q6lLMNVmXWsIlQkMmhXsPCNCWRlVlDCHTI02bdgeMst6wIDAQABoAAw
      DQYJKoZIhvcNAQEEBQADggEBAHhBMMi0KYf/MOg19pWhnBDV5OTU52NNmN3lm91Cpag6OerhHrg
      Ul6fPx9v847iX9gPa53J9It0/4d2t3QAsISIDiXMmhjvwnxpTUgjmquHAJbx4vNQc8UX9V016O4/
      UxOiRYA20Cegyuaq2ExoIsJCkWwymIoHS5Hpn2n9Qrulzny57097g1TrJUNdleVklg6R9lVWvdS+
      bEUGfG0iSKCTn6foZ2XECbvKL5QRSZM47CD3qpKnXE7FbJh9CCzNghzDtO1WmtGYYHaiVLxnDKlU
      C7qaEvx2DvVMEbcJ0WV5q9kvxKlY+FI5e42irQFDXnYJe45LmRnRj3tKd97l+D8=
      -----END NEW CERTIFICATE REQUEST-----
    2. Agora que seu CSR está pronto, a cópia e cola a informação CSR em toda a ferramenta do registro de CA.

      A fim copiar e colar a informação no formulário do registro, abra o arquivo em um editor de texto que não adicione caráteres extra. Cisco recomenda que você usa o Microsoft Notepad ou o UNIX VI. Refira o Web site de CA da terceira para obter mais informações sobre de como submeter o CSR através da ferramenta do registro.

      Depois que você submete o CSR a CA da terceira, CA da terceira digitalmente assina o certificado e envia para trás o certificado assinado através do email.

    3. Uma vez que você recebe de volta o certificado assinado de CA, você pode instalá-lo para substituir o certificado auto-assinado original incorporando este comando:

      keyadmin importsignedcert [certFileName]
      
      

      O certificado e a chave são armazenados em C:\ProgramFiles\WCS4.1\webnms\apache\conf\ssl.crt.

      O certificado deve ser uma certificação X.509 assinada no formato PEM, e deve combinar a chave privada que foi gerada originalmente pelo comando do genkey (veja etapa 1). Consequentemente, se você gerencie uma chave outra vez antes que você importe o certificado, rejeitará o certificado.

Importe uma chave/par PRE-existentes do certificado ao WCS

O WCS igualmente tem disposições importar uma chave/par PRE-existentes do certificado. A fim executar isto, incorpore este comando:

keyadmin importkey [keyFileName] [certFileName]

A chave deve ser uma chave privada PEM-codificada RSA com uma linha que comece com COMECEM A CHAVE PRIVADA RSA, ou possa ser uma chave privada PEM-codificada RSA no formato PKCS8 com uma linha que comece com COMECEM A CHAVE PRIVADA. Em qualquer dos casos, a chave não deve ser senha protegida.

O certificado deve ser um certificado X.509 PEM-codificado que combine a chave.

Importe um certificado de servidor com CA intermediários

Se o certificado de servidor SSL é assinado por CA intermediário, para certificar-se de que o WCS passa para trás o keychain completo de CA, você precisa de combinar o certificado de servidor, os CA intermediários e o certificado CA raiz em um certificado novo PEM:

-----BEGIN CERTIFICATE-----
WCS SSL server certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA1 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA2 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CAx certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root CA certificate
-----END CERTIFICATE----- 

Este arquivo certificado novo PEM é o [certFileName] a ser usado com os comandos:

keyadmin importsignedcert [certFileName]

and/or

keyadmin importkey [keyFileName] [certFileName]

Verificar

Termine estas etapas a fim verificar se a configuração trabalha como esperado:

  1. Depois que você importa o certificado assinado sobre ao WCS, reinicie o WCS para que as mudanças tomem o efeito.

  2. Alcance o WCS com o navegador da Web.

    Se o certificado assinado é válido e tem um Domain Name de harmonização, o usuário deve ir certo à página de login sem o problema com o diálogo de advertência emergente do certificado.

Troubleshooting

A ferramenta Keyadmin.bat não gerará o CSR instala dentro o diretório

Quando keyadmin.bat é executado no WCS \ diretório bin em Windows, este erro aparece:

Generating RSA key
Configuring Apache server for key
Writing certificate signing request to
Error generating key java.security.KeyStoreException: Could not create CSR
C:\Program Files\WCS4.x\bin>

A fim resolver esta edição, defina um nome de arquivo em algum outro diretório além do diretório de instalação do WCS. Aqui está um exemplo:

C:\Program Files\WCS4.2.81.0\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM

The WCS server is running
Changes will take affect on the next server restart
Enter the domain name of the server: cisco
Enter the name of your organizational unit: cisco
Enter the name of your organization: cisco
Enter the name of your city or locality: SJ
Enter the name of your state or province: CA
Enter the two letter code for your country: US
Generating RSA key
Configuring Apache server for key
\Writing certificate signing request to C:\TEST\CSR-WCS.PEM

Informações Relacionadas


Document ID: 98599