Sans fil : Système de contrôle sans fil Cisco

Génération d'une demande de signature de certificat (CSR) pour un certificat tiers sur un contrôleur de réseau local sans fil (WCS)

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique comment générer une demande de signature de certificat (CSR) afin d'obtenir un tiers certificat avec un système de contrôle sans fil (WCS) et comment télécharger le certificat sur le WCS.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • La connaissance de la façon installer et configurer WCS pour le fonctionnement de base

  • La connaissance d'auto-signé et des Certificats numériques, et d'autres mécanismes de sécurité a associé à l'Infrastructure à clés publiques (PKI)

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 4.1.91.0 WCS

    Remarque: La génération CSR qui utilise un WCS est seulement commencer pris en charge par la version 4.1.91.0 WCS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Demande de signature de certificat (CSR)

Un certificat est un document électronique que vous employez afin d'identifier un serveur, une société, ou une autre entité et associer cette identité avec une clé publique.

Un certificat auto-signé est un certificat d'identité qui est signé par son propre créateur. C'est-à-dire, la personne qui a créé le certificat également s'est déconnectée sur sa légitimité.

Des Certificats peuvent auto-être signés ou peuvent être certifiés par une signature numérique d'un Autorité de certification (CA).

Les CAs sont des entités qui valident des identités et délivrent des Certificats. Le certificat que le CA fournit des grippages une clé publique particulière au nom de l'entité que le certificat identifie, comme le nom d'un serveur ou d'un périphérique. Seulement la clé publique que le certificat certifie des travaux avec la clé privée correspondante a possédé par l'entité que le certificat identifie. Les Certificats aident à empêcher l'utilisation de fausses clés publiques pour la personnification.

Un CSR est un message qu'un candidat envoie à un CA afin de solliciter un certificat d'identité numérique. Avant qu'un CSR soit créé, le candidat génère d'abord une paire de clés, qui maintient la clé privée secrète. Le CSR contient les informations qui identifient le candidat, tel qu'un nom du répertoire dans le cas d'un certificat X.509, et la clé publique choisie par le candidat. La clé privée correspondante n'est pas incluse dans le CSR, mais est utilisée pour signer digitalement la demande entière.

Le CSR peut être accompagné d'autres qualifications ou preuves d'identité exigées par l'autorité de certification, et l'autorité de certification peut contacter le candidat pour de plus amples informations. Pour la plupart, une société de la tierce partie CA, comme confient ou Verisign, exige un CSR avant que la société puisse créer un certificat numérique.

La génération CSR est indépendant du périphérique sur lequel vous prévoyez d'installer un certificat externe. Par conséquent, un CSR et un fichier principal privé peuvent être générés sur n'importe quel ordinateur individuel qui prend en charge la génération CSR. La génération CSR n'est pas commutateur-dépendante ou appliance-dépendante dans ce cas.

Ce document explique comment générer le CSR pour un tiers certificat utilisant le Cisco WCS.

Génération CSR utilisant un WCS

CSRs sur un WCS peut être généré utilisant un outil disponible dans le répertoire d'installation WCS. Cet outil s'appelle le keyadmin.bat.

Remarque: Si le WCS est installé sur le Linux, vous devrez utiliser l'outil de keyadmin.sh disponible chez /opt/WCS4.1/bin/. Cet exemple affiche comment générer un CSR et importer le certificat signé utilisant un WCS installé sur un serveur de Microsoft Windows 2003. L'utilisateur de base du WCS doit exécuter cette procédure de sorte que le certificat puisse être généré.

Terminez-vous ces étapes afin d'accéder à l'outil :

  1. Allez à l'invite de commande disponible avec Windows.

  2. Allez le répertoire d'installation WCS, puis au coffre de répertoire.

    Voici un exemple :

    C:\CD Program Files
    
    C:\Program Files>CD WCS4.1
    
    C:\Program Files\WCS4.1> cd bin
    
    C:\Program Files\WCS4.1\bin>
    

    Ce répertoire aura l'outil keyadmin.bat qui est utilisé pour générer le CSR.

  3. Terminez-vous ces étapes afin de générer le CSR :

    1. Sélectionnez cette commande :

      keyadmin -newdn -csr genkey [csrFileName]
      
      

      Ceci génère une nouvelle clé/paire auto-signée de certificat, et a sorti le CSR au fichier spécifié. - L'indicateur de newdn le fait inciter pour les champs de nom unique pour le certificat. Il est important de spécifier l'adresse Internet finale qui sera utilisée pour accéder au WCS dans le domaine NC du DN afin d'éviter des avertissements de navigateur.

      Voici un exemple :

      C:\Program Files\WCS4.1\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM
      
      The WCS server is running
      Changes will take affect on the next server restart
      Enter the domain name of the server: TS-WEB
      Enter the name of your organizational unit: ABC
      Enter the name of your organization: XYZ
      Enter the name of your city or locality: Sanjose
      Enter the name of your state or province: CA
      Enter the two letter code for your country: US
      Generating RSA key
      Configuring Apache server for key
      Writing certificate signing request to C:\TEST\CSR-WCS.PEM
      

      Une fois que la commande est exécutée, les informations CSR sont générées et écrites au fichier.

      Les informations CSR ressemblent à ceci :

      -----BEGIN NEW CERTIFICATE REQUEST-----
      MIICnjCCAYYCAQAwWTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRAwDgYDVQQHEwdTYW
      MQwwCgYDVQQKEwNYWVoxDDAKBgNVBAsTA0FCQzEPMA0GA1UEAxMGVFMtV0VCMIIBIjANBgkq
      9w0BAQEFAAOCAQ8AMIIBCgKCAQEAkL51KTAwwE/HjKHSEoDcpNWvqv3iyGjmb5MHAl32/++Q2HqZ
      nXicY36VEscDKGYF4b+QMvR4jmRY5vwKioripPlhTKIt5xcIhESDR9k8fw62lWHV7nSu1vWF0zFn
      9NJm7X+l+2pUL8A1M5eMEq9uieVVFd5NJZOvmo11i51RJ3sjcHZhfnfO5cF2pLfHDtiA0OfPPM1P
      U2+fZ5qYTvWsZbB0hsS32xDrnEvSB5zzCpgzhNC0/BjaWq2f+uZxsATN3slL3G9upNp0dch0HKJW
      +gxboFO757f0NATZkAtg6q6lLMNVmXWsIlQkMmhXsPCNCWRlVlDCHTI02bdgeMst6wIDAQABoAAw
      DQYJKoZIhvcNAQEEBQADggEBAHhBMMi0KYf/MOg19pWhnBDV5OTU52NNmN3lm91Cpag6OerhHrg
      Ul6fPx9v847iX9gPa53J9It0/4d2t3QAsISIDiXMmhjvwnxpTUgjmquHAJbx4vNQc8UX9V016O4/
      UxOiRYA20Cegyuaq2ExoIsJCkWwymIoHS5Hpn2n9Qrulzny57097g1TrJUNdleVklg6R9lVWvdS+
      bEUGfG0iSKCTn6foZ2XECbvKL5QRSZM47CD3qpKnXE7FbJh9CCzNghzDtO1WmtGYYHaiVLxnDKlU
      C7qaEvx2DvVMEbcJ0WV5q9kvxKlY+FI5e42irQFDXnYJe45LmRnRj3tKd97l+D8=
      -----END NEW CERTIFICATE REQUEST-----
    2. Maintenant que votre CSR est prêt, copiez et collez les informations CSR dans n'importe quel outil d'inscription CA.

      Afin de copier et coller les informations dans la forme d'inscription, ouvrez le fichier dans un éditeur de texte qui n'ajoute pas les caractères supplémentaires. Cisco recommande que vous utilisiez Microsoft Notepad ou UNIX VI. Référez-vous au site Web de la tierce partie CA pour plus d'informations sur la façon soumettre le CSR par l'outil d'inscription.

      Après que vous soumettiez le CSR à la tierce partie CA, la tierce partie CA digitalement signe le certificat et envoie de retour le certificat signé par l'intermédiaire de l'email.

    3. Une fois que vous récupérez le certificat signé du CA, vous pouvez l'installer pour remplacer le certificat auto-signé par original en écrivant cette commande :

      keyadmin importsignedcert [certFileName]
      
      

      Le certificat et la clé sont enregistrés à C:\ProgramFiles\WCS4.1\webnms\apache\conf\ssl.crt.

      Le certificat devrait être une certification X.509 signée dans le format PEM, et il doit apparier la clé privée qui a été initialement générée par la commande de genkey (voir l'étape 1). Par conséquent, si vous générez une clé de nouveau avant que vous importiez le certificat, il rejettera le certificat.

Importez une clé/paire préexistantes de certificat au WCS

Le WCS a également des dispositions d'importer une clé/paire préexistantes de certificat. Afin d'exécuter ceci, sélectionnez cette commande :

keyadmin importkey [keyFileName] [certFileName]

La clé doit être une clé privée PEM-encodée RSA avec une ligne par laquelle commence COMMENCENT LA CLÉ PRIVÉE RSA, ou ce peut être une clé privée PEM-encodée RSA dans le format PKCS8 avec une ligne par laquelle commence COMMENCENT LA CLÉ PRIVÉE. Dans l'un ou l'autre de cas, la clé ne doit pas être protégée par mot de passe.

Le certificat devrait être un certificat X.509 PEM-encodé qui apparie la clé.

Importez un certificat de serveur avec l'intermédiaire CAs

Si le certificat de serveur SSL est signé par un intermédiaire CA, pour s'assurer que WCS passe de retour le plein trousseau de clés CA, vous devez combiner le certificat de serveur, l'intermédiaire CAs et le certificat de CA de racine dans un nouveau certificat PEM :

-----BEGIN CERTIFICATE-----
WCS SSL server certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA1 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA2 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CAx certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root CA certificate
-----END CERTIFICATE----- 

Ce nouveau fichier du certificat PEM est [certFileName] pour être utilisé avec les commandes :

keyadmin importsignedcert [certFileName]

and/or

keyadmin importkey [keyFileName] [certFileName]

Vérifiez

Terminez-vous ces étapes afin de vérifier si la configuration fonctionne comme prévu :

  1. Après que vous importiez le certificat signé en fonction au WCS, redémarrez le WCS pour les modifications pour le prendre effet.

  2. Accédez au WCS par le navigateur Web.

    Si le certificat signé est valide et a un nom de domaine assorti, l'utilisateur doit aller juste à la page de connexion sans problème avec le dialogue d'avertissement instantané de certificat.

Dépannez

L'outil Keyadmin.bat ne génèrera pas le CSR installent dedans le répertoire

Quand keyadmin.bat est exécuté dans le WCS \ répertoire de coffre sur Windows, cette erreur apparaît :

Generating RSA key
Configuring Apache server for key
Writing certificate signing request to
Error generating key java.security.KeyStoreException: Could not create CSR
C:\Program Files\WCS4.x\bin>

Afin de résoudre ce problème, définissez un nom du fichier dans un autre répertoire sans compter que le répertoire d'installation du WCS. Voici un exemple :

C:\Program Files\WCS4.2.81.0\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM

The WCS server is running
Changes will take affect on the next server restart
Enter the domain name of the server: cisco
Enter the name of your organizational unit: cisco
Enter the name of your organization: cisco
Enter the name of your city or locality: SJ
Enter the name of your state or province: CA
Enter the two letter code for your country: US
Generating RSA key
Configuring Apache server for key
\Writing certificate signing request to C:\TEST\CSR-WCS.PEM

Informations connexes


Document ID: 98599