Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Génération d'une demande CSR pour des certificats tiers et téléchargement des certificats chaînés sur le contrôleur de réseau local sans fil

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (28 août 2015) | Commentaires

Introduction

Ce document décrit comment générer une demande de signature de certificat (CSR) afin d'obtenir un tiers certificat et comment télécharger un certificat enchaîné à un contrôleur Sans fil du RÉSEAU LOCAL (WLAN) (WLC).

Contribué par Nicolas Darchis, Maithri B, et Surendra BG, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Avant que vous tentiez cette configuration, vous devriez avoir la connaissance de ces thèmes :

  • Comment configurer le WLC, le point d'accès léger (LAP), et la carte de client sans fil pour le fonctionnement de base
  • Comment utiliser l'application d'OpenSSL
  • Infrastructure de clé publique et Certificats numériques

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco 4400 WLC qui exécute la version 5.1.151.0 de micrologiciels
  • Demande d'OpenSSL de Microsoft Windows
  • Outil d'inscription qui est spécifique à la tiers autorité de certification (le CA)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Certificats enchaînés

Une chaîne de certificat est un ordre des Certificats, où chaque certificat dans la chaîne est signé par le certificat ultérieur. Le but d'une chaîne de certificat est d'établir une chaîne de confiance d'un certificat de pair à un certificat de CA de confiance. Le CA garantit pour l'identité dans le certificat de pair quand il la signe. Si le CA est un au lequel vous faites confiance, qui est indiqué par la présence d'une copie du certificat de CA dans votre répertoire de certificat racine, ceci vous implique peut faire confiance au certificat signé de pair aussi bien.

Souvent, les clients ne reçoivent pas les Certificats parce qu'ils n'ont pas été créés par un CA connu. Le client déclare typiquement que la validité du certificat ne peut pas être vérifiée. C'est le cas quand le certificat est signé par un intermédiaire CA, qui n'est pas connu au navigateur de client. En pareil cas, il est nécessaire d'utiliser un certificat ssl enchaîné ou de délivrer un certificat le groupe.

Soutien de certificat enchaîné

Dans des versions de contrôleur plus tôt que la version 5.1.151.0, les Certificats d'authentification Web peuvent être seulement des Certificats de périphérique et ne devraient pas contenir les racines CA enchaînées au certificat de périphérique (aucun Certificats enchaînés). Avec la version 5.1.151.0 de contrôleur et plus tard, le contrôleur tient compte pour que le certificat de périphérique soit téléchargé comme certificat enchaîné pour l'authentification Web.

Niveaux de certificat

  • Niveau 0 - Utilisation d'un certificat seulement de serveur sur le WLC
  • Niveau 1 - Utilisation d'un certificat de serveur sur le WLC et un certificat racine CA
  • Niveau 2 - Utilisation d'un certificat de serveur sur le WLC, d'un certificat intermédiaire simple CA, et d'un certificat racine CA
  • Niveau 3 - Utilisation d'un certificat de serveur sur le WLC, deux Certificats intermédiaires CA, et un certificat racine CA

Le WLC ne le prend en charge pas enchaîné délivre un certificat plus que 10KB dans la taille sur le WLC. Cependant, cette restriction a été retirée dans la version 7.0.230.0 WLC et plus tard.

Remarque: Des Certificats enchaînés sont pris en charge pour l'authentification Web seulement ; ils ne sont pas pris en charge pour le certificat de Gestion.

Les Certificats d'authentification Web peuvent être l'un de ces :

  • Enchaîné
  • Désenchaîné
  • Automatique-généré

Remarque: Dans la version 7.6 et ultérieures WLC, seulement des Certificats enchaînés sont pris en charge dans le WLC pour l'authentification Web.

Pour WLCs avec des versions de logiciel plus tôt que la version 5.1.151.0, le contournement est d'utiliser une de ces options :

  • Saisissez un certificat désenchaîné du CA, ainsi il signifie que la racine de signature est de confiance.
  • Ayez tous les certificats racine valides de l'intermédiaire CA (faits confiance ou non approuvés) installés sur le client.

Pour les informations sur la façon dont utiliser les Certificats désenchaînés sur le WLC, se rapporter génèrent le CSR pour de tiers Certificats et téléchargent les Certificats désenchaînés au WLC.

Ce document discute comment installer correctement un certificat enchaîné de Protocole SSL (Secure Socket Layer) sur un WLC.

Générez un CSR

Terminez-vous ces étapes afin de générer un CSR :

  1. Installez et ouvrez l'OpenSSL.

    Dans Microsoft Windows, par défaut, openssl.exe se trouve à C:\ > à l'openssl > au coffre.

    Remarque: La version 0.9.8 d'OpenSSL est la version recommandée ; cependant, en date de la version 7.5, le soutien de la version 1.0 d'OpenSSL a été également ajouté (référez-vous à l'ID de bogue Cisco CSCti65315 - soutien du besoin des Certificats générés utilisant OpenSSL v1.0).



  2. Émettez cette commande afin de générer un nouveau CSR :

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem


    Remarque: Support de WLCs une taille de clé maximum de 2,048 bits.



  3. Parfois quand vous essayez de générer un nouveau CSR, vous pourriez recevoir l'erreur incapable de charger les informations de config de l'erreur de /usr/local/ssl/openssl.cnf dans le req. Ceci peut se produire si l'emplacement du fichier openssl.cfg (ou openssl.cnf) n'est pas dans le répertoire par défaut d'OpenSSL. Afin de réparer cette question, vous devez spécifier le nom de chemin entier au fichier openssl.cfg dans la commande de générer le CSR. Voici un exemple : 

    OpenSSL> req -config "C:\Open SSL1\OpenSSL\bin\openssl.cfg" -new -newkey rsa:
    1024 -nodes -keyout mykey.pem -out myreq.pem


    Ce chemin, < C:\Open SSL1\OpenSSL\bin\openssl.cfg >, du fichier de config d'OpenSSL pourrait différer basé sur l'emplacement de fichier.

  4.  Après que vous émettiez la commande, il y a une demande pour quelques informations : nom du pays, état, ville, et ainsi de suite. Fournissez l'information requise.

    Remarque: Il est important que vous fournissiez le nom commun correct. Assurez-vous que le nom d'hôte qui est utilisé pour créer le certificat (nom commun) apparie l'entrée de nom d'hôte de Système de noms de domaine (DNS) pour l'adresse IP d'interface virtuelle sur le WLC et que le nom existe dans les DN aussi bien. En outre, après que vous apportiez la modification à l'interface virtuelle IP (VIP), vous devez redémarrer le système pour que cette modification la prenne effet.



    Voici un exemple :

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:OpenSSL>


  5. Après que vous fournissiez tous les détails priés, deux fichiers sont générés :

    • une nouvelle clé privée qui inclut le nom mykey.pem
    • un CSR qui inclut le nom myreq.pem

Obtenez le fichier Final.pem

  1. Copiez et collez les informations CSR dans n'importe quel outil d'inscription CA.

    Après que vous soumettiez le CSR à la tierce partie CA, la tierce partie CA digitalement signe le certificat et envoie de retour la chaîne de certificat signé par l'email. Dans le cas des Certificats enchaînés, vous recevez la chaîne entière des Certificats du CA. Si vous avez seulement un certificat intermédiaire comme dedans dedans cet exemple, vous recevez ces trois Certificats du CA :

    • Racine certificate.pem
    • Intermédiaire certificate.pem
    • Périphérique certificate.pem


    Remarque: Assurez-vous que le certificat est Apache-compatible avec le cryptage du Secure Hash Algorithm 1 (SHA1).

  2. Une fois que vous avez chacun des trois Certificats, copiez et collez le contenu de chaque fichier .pem dans un autre fichier dans cette commande :

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------


  3. Sauvegardez le fichier comme All-certs.pem.

  4. Combinez le certificat All-certs.pem avec la clé privée que vous avez générée avec le CSR (la clé privée du certificat de périphérique, qui est mykey.pem dans cet exemple), et sauvegardez le fichier comme final.pem.

    Émettez ces commandes dans l'application d'OpenSSL afin de créer les fichiers All-certs.pem et final.pem :

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
    -out All-certs.p12 -clcerts -passin pass:check123
    -passout pass:check123


    openssl>pkcs12 -in All-certs.p12 -out final.pem
    -passin pass:check123 -passout pass:check123


    Remarque: Dans cette commande, vous devez entrer un mot de passe pour les paramètres - passin et - passout. Le mot de passe qui est configuré pour - paramètre de passout doit apparier le paramètre de certpassword qui est configuré sur le WLC. Dans cet exemple, le mot de passe qui est configuré pour - passin et - les paramètres de passout est check123.



    final.pem est le fichier que vous devez télécharger au WLC. L'étape suivante est de télécharger ce fichier au WLC.

Remarque: SHA2 est également pris en charge. L'ID de bogue Cisco CSCuf20725 est une demande du support SHA512.

Téléchargez le tiers certificat au WLC avec le CLI

Terminez-vous ces étapes afin de télécharger le certificat enchaîné au WLC avec le CLI :

  1. Déplacez le fichier final.pem au répertoire par défaut sur votre serveur TFTP.

  2. Dans le CLI, émettez ces commandes afin de changer les configurations de téléchargement :

        >transfer download mode tftp
    >transfer download datatype webauthcert
    >transfer download serverip <TFTP server IP address>
    >transfer download path <absolute TFTP server path to the update file>
    >transfer download filename final.pem


  3. Entrez le mot de passe pour le fichier .pem de sorte que le système d'exploitation puisse déchiffrer la clé et le certificat SSL.

    >transfer download certpassword password


    Remarque: Soyez que la valeur pour le certpassword est identique que - le mot de passe sûr de paramètre de passout qui a été placé dans l'étape 4 du générer par section CSR. Dans cet exemple, le certpassword doit être check123.



  4. Émettez la commande de transfer download start afin de visualiser les configurations mises à jour. Écrivez alors y au prompt afin de confirmer les configurations en cours de téléchargement et commencer le téléchargement de certificat et de clé. Voici un exemple :

    (Cisco Controller) >transfer download start

    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem

    This may take some time.
    Are you sure you want to start? (y/N) y

    TFTP EAP Dev cert transfer starting.

    Certificate installed.
    Reboot the switch to use new certificate.


  5. Redémarrez le WLC pour que les modifications les prennent effet.

Téléchargez le tiers certificat au WLC avec le GUI

Terminez-vous ces étapes afin de télécharger le certificat enchaîné au WLC avec le GUI :

  1. Copiez le certificat final.pem de périphérique sur le répertoire par défaut sur votre serveur TFTP.

  2. Choisissez la Sécurité > le Web authentiques > CERT afin d'ouvrir la page de certificat d'authentification Web.

  3. Cochez la case de certificat ssl de téléchargement afin de visualiser le certificat ssl de téléchargement des paramètres de serveur TFTP.

  4. Dans le champ IP Address, écrivez l'adresse IP du serveur TFTP.



  5. Dans le domaine de chemin de fichier, entrez dans le chemin du répertoire du certificat.

  6. Dans le domaine de nom du fichier, écrivez le nom du certificat.

  7. Dans le domaine de mot de passe de certificat, entrez le mot de passe qui a été utilisé pour protéger le certificat.

  8. Cliquez sur Apply.

  9. Après que le téléchargement soit complet, choisissez les commandes > la réinitialisation > la réinitialisation.

  10. S'incité à sauvegarder vos modifications, sauvegarde de clic et réinitialisation.

  11. Cliquez sur OK afin de confirmer votre décision de redémarrer le contrôleur.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 109597