Sans fil : Cisco Wireless Control System Version 4.0

Exemple de configuration d'une demande de signature de certificat (CSR) pour un contrôleur de réseau local sans fil (WCS) sur un serveur Linux

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment générer une demande de signature de certificat (CSR) du système de contrôle sans fil (WCS) ces passages sur un serveur Linux.

Conditions préalables

Conditions requises

Avant que vous tentiez cette configuration, Cisco exige que vous avez la connaissance sur ces thèmes :

  • Interface de ligne de commande de Linux (CLI)

  • Système de contrôle sans fil

Composants utilisés

Les informations dans ce document sont basées sur la version 4.1.91.0 WCS.

Remarque: La génération CSR qui utilise un WCS est prise en charge avec des versions 4.1.91.0 et ultérieures WCS.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Un CSR est soumis à une tierce partie CA afin d'obtenir un certificat, qu'elles signent digitalement. Ce certificat est utilisé par WCS pour l'authentification de connexion. Avant que le CSR soit créé, le candidat génère d'abord paire de clés publique/privée.

Le CSR contient les informations identifie le candidat (tel que le nom de domaine, l'organisation, l'emplacement, etc.) et la clé publique choisie par le candidat. La clé privée correspondante n'est pas incluse dans le CSR, mais est utilisée pour signer digitalement la demande entière. Le CSR peut être accompagné d'autres qualifications ou preuves selon les exigences de l'autorité de certification. Pour la plupart, une société de la tierce partie CA, comme confient ou Verisign, exige un CSR avant que la société puisse créer un certificat numérique.

Génération CSR utilisant un WCS

Vous pouvez utiliser l'outil de keyadmin.sh disponible dans le répertoire d'installation WCS (/opt/WCS4.1/bin/) afin de générer CSRs sur un WCS.

Terminez-vous ces étapes afin d'accéder à l'outil :

  1. Ouvrez la demande de shell.

  2. Allez à /opt/WCS4.1/bin le répertoire, et exécutez la commande de génération CSR comme affiché ci-dessous :

    #!/opt/WCS4.1/bin
     openssl req -new -newkey rsa:2048 -nodes -keyout /opt/mykey.pem -out
     /opt/myreq.pem
    

    Ceci a comme conséquence la génération du CSR dans le fichier myreq.pem dans le répertoire de /opt, qui est utilisé pour demander le certificat du CA. Paire de clés publique/privée est enregistrée dans le fichier mykey.pem dans le répertoire de /opt.

Utilisant le certificat pour la procédure de connexion sécurisée (HTTPS)

Référez-vous au site Web de la tierce partie CA pour plus d'informations sur la façon soumettre le CSR par l'outil d'inscription. Une fois que vous soumettez le CSR à une tierce partie CA, elles vérifient les détails que vous avez fournis, elles créent et signent digitalement le certificat, et envoient alors le certificat signé de nouveau à vous par l'intermédiaire de l'email. Ce certificat est combiné avec la clé privée à utiliser pour l'authentification finale.

Terminez-vous ces étapes afin de créer le certificat final :

  1. Supposez que le certificat du CA a le nom du fichier certificate.pem. Employez cette commande afin de combiner le certificat avec la clé privée :

    openssl pkcs12 -export -in /opt/certificate.pem -inkey /opt/mykey.pem -out
    /opt/certificate.p12 -clcerts -passin pass:<give_a_password> -passout
    pass:<give_same_password>
    
  2. Convertissez-le en format de .cer.

    openssl pkcs12 -in /opt/certificate.p12 -out /opt/certificate.cer
    -passin pass:<give_same_password> -passout pass:<give_same_password>
    

    Remarque: Ceci a comme conséquence la création du certificat final certificate.cer situé dans le répertoire de /opt.

    Remarque: Par défaut, WCS a une fonction intégrée certificat ssl auto-signé. Ce certificat auto-signé est enregistré comme server.cer dans le répertoire de /opt/WCS4.1/webnms/apache/conf/ssl, qui est utilisé par le logiciel WCS quand quelqu'un essaye d'ouvrir une session sécurisé à WCS par des https. Le certificat/paire de clés auto-signés devrait être remplacé par le certificat (certificate.cer) et la clé privée (mykey.pem) cette nous avons créé de sorte qu'elle puisse être utilisée pour l'authentification de connexion.

  3. Employez cette Commande COPY afin de remplacer le certificat auto-signé par le certificat que nous avons créé.

    cp /opt/mykey.pem /opt/WCSx.x.x.x/webnms/apache/conf/ssl.crt/server.key
    cp /opt/certificate.cer /opt/WCSx.x.x.x/webnms/apache/conf/ssl.crt/server.cer
       

Vérifiez

Afin de vérifier si le certificat de la tierce partie est utilisé pour l'authentification, terminez-vous ces étapes :

  1. Cessez et redémarrez le WCS pour les modifications pour le prendre effet.

  2. Accédez au WCS utilisant le navigateur Web.

    Si le certificat signé est valide et a un nom de domaine assorti, l'application ne devrait pas afficher l'avertissement instantané de certificat et devrait vous porter directement à la page de connexion.

    Remarque: Il y a une manière alternative de tester le certificat. Si la tierce partie dont le certificat a été obtenu n'est pas dans la liste de confiance dans le client, alors le certificat sera traité comme certificat non valide et vous recevrez un dialogue d'avertissement quand vous essayez d'ouvrir une session à WCS. Sur l'écran d'avertissement, certificat de vue de clic. Sur l'écran qui apparaît, cliquez sur le clic de tableau de détails le champ d'émetteur, et vérifiez l'OU d'attributs (unité organisationnelle) et O (organisation). Le certificat auto-signé par par défaut aura l'OU comme WNBU et O comme Cisco Systems. Vérifiez si ces attributs correspondent à la tierce partie qui a délivré le certificat.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.


Informations connexes


Document ID: 107600