Sans fil : Contrôleurs de réseau local sans fil de la gamme Cisco 4400

Génération d'une demande CSR pour des certificats tiers et téléchargement des certificats chaînés sur le contrôleur de réseau local sans fil

20 septembre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (16 septembre 2014) | Commentaires


Contenu


Introduction

Ce document décrit comment générer une demande de signature de certificat (CSR) afin d'obtenir un tiers certificat et comment télécharger un certificat enchaîné à un contrôleur Sans fil du RÉSEAU LOCAL (WLAN) (WLC).

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • La connaissance de la façon configurer le WLC, le point d'accès léger (LAP), et la carte de client sans fil pour le fonctionnement de base

  • La connaissance de la façon utiliser l'application d'OpenSSL

  • La connaissance de l'infrastructure de clé publique et des Certificats numériques

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Cisco 4400 WLC qui exécute la version 5.1.151.0 de micrologiciels

  • Demande d'OpenSSL de Microsoft Windows

  • Outil d'inscription qui est spécifique à la tiers autorité de certification (le CA)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Certificats enchaînés

Une chaîne de certificat est un ordre des Certificats, où chaque certificat dans la chaîne est signé par le certificat ultérieur. Le but de la chaîne de certificat est d'établir une chaîne de confiance d'un certificat de pair à un certificat de confiance de l'autorité de certification (CA). Le CA garantit pour l'identité dans le certificat de pair en le signant. Si le CA est un au lequel vous faites confiance, qui est indiqué par la présence d'une copie du certificat de CA dans votre répertoire de certificat racine, ceci vous implique peut faire confiance au certificat signé de pair aussi bien.

Souvent, les clients ne reçoivent pas les Certificats parce qu'ils n'ont pas été créés par un CA connu. Le client déclare typiquement que la validité du certificat ne peut pas être vérifiée. C'est le cas quand le certificat est signé par un intermédiaire CA, qui n'est pas connu au navigateur de client. En pareil cas, il est nécessaire d'utiliser un certificat ssl enchaîné ou de délivrer un certificat le groupe.

Soutien de certificat enchaîné

Dans des versions de contrôleur plus tôt que 5.1.151.0, les Certificats d'authentification Web peuvent être seulement des Certificats de périphérique et ne devraient pas contenir les racines CA enchaînées au certificat de périphérique (aucun Certificats enchaînés).

Avec la version 5.1.151.0 de contrôleur et plus tard, le contrôleur tient compte pour que le certificat de périphérique soit téléchargé comme certificat enchaîné pour l'authentification Web.

Niveaux de certificat

  • Niveau 0 — Utilisation d'un certificat seulement de serveur sur WLC.

  • Niveau 1 — Utilisation de certificat de serveur sur WLC et un certificat racine CA.

  • Niveau 2 — Utilisation de certificat de serveur sur WLC, d'un certificat intermédiaire simple CA, et d'un certificat racine CA.

  • Niveau 3 — Utilisation de certificat de serveur sur WLC, deux Certificats intermédiaires CA, et un certificat racine CA.

WLC ne le prend en charge pas enchaîné délivre un certificat plus que la taille 10KB sur le WLC. Cependant, cette restriction a été retirée dans WLC 7.0.230.0 et versions ultérieures.

Remarque: Des Certificats enchaînés sont pris en charge pour l'authentification Web seulement ; ils ne sont pas pris en charge pour le certificat de Gestion.

Les Certificats d'authentification Web peuvent être l'un de ces :

  • Enchaîné

  • Désenchaîné

  • Automatique généré

Pour WLCs avec des versions de logiciel plus tôt que 5.1.151.0, le contournement est d'utiliser une de ces options :

  • Saisissez un certificat désenchaîné du CA, ainsi il signifie que la racine de signature est de confiance.

  • Ayez tous les certificats racine valides de l'intermédiaire CA (faits confiance ou non approuvés) installés sur le client.

Pour les informations sur la façon dont utiliser les Certificats désenchaînés sur le WLC, se rapporter génèrent le CSR pour de tiers Certificats et téléchargent les Certificats désenchaînés au WLC.

Ce document discute comment installer correctement un certificat enchaîné de Protocole SSL (Secure Socket Layer) sur un WLC.

Générez un CSR

Terminez-vous ces étapes afin de générer un CSR :

  1. Installez et ouvrez l'application d'OpenSSL. Dans Windows, par défaut, openssl.exe se trouve à C:\ > à l'openssl > au coffre.

    Remarque: OpenSSL 0.9.8 est exigé car le WLC ne prend en charge pas actuellement OpenSSL 1.0.

  2. Émettez la commande suivante :

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    Remarque: Support de WLCs une taille de clé maximum de 2048 bits.

    Après que vous émettiez la commande, il y a une demande pour quelques informations : nom du pays, état, ville, et ainsi de suite.

  3. Fournissez l'information requise.

    Remarque: Il est important que vous fournissiez le nom commun correct. Assurez-vous que le nom d'hôte qui est utilisé pour créer le certificat (nom commun) apparie l'entrée de nom d'hôte de Système de noms de domaine (DNS) pour l'IP d'interface virtuelle sur le WLC et que le nom existe dans les DN aussi bien. En outre, après que vous apportiez la modification à l'interface de VIP, vous devez redémarrer le système pour que cette modification la prenne effet.

    Voici un exemple :

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL> 

    Après que vous fournissiez tous les détails priés, deux fichiers sont générés :

    • une nouvelle clé privée qui inclut le nom mykey.pem

    • un CSR qui inclut le nom myreq.pem

  4. Copiez et collez les informations CSR dans n'importe quel outil d'inscription CA.

    Après que vous soumettiez le CSR à la tierce partie CA, la tierce partie CA digitalement signe le certificat et envoie de retour la chaîne de certificat signé par le courrier électronique. En cas de Certificats enchaînés, vous recevez la chaîne entière des Certificats du CA. Si vous avez seulement un certificat intermédiaire dans notre exemple, vous recevez ces trois Certificats du CA :

    • Racine certificate.pem

    • Intermédiaire certificate.pem

    • Périphérique certificate.pem

    Remarque: Assurez-vous que le certificat est Apache compatible avec le cryptage SHA1.

  5. Une fois que vous avez tous les trois Certificats, copiez et collez dans un autre fichier le contenu de chaque fichier .pem dans cette commande :

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------
  6. Sauvegardez le fichier comme All-certs.pem.

  7. Combinez le certificat All-certs.pem avec la clé privée que vous avez générée avec le CSR (la clé privée du certificat de périphérique, qui est mykey.pem dans cet exemple), et sauvegardez le fichier comme final.pem.

    Émettez ces commandes dans l'application d'OpenSSL afin de créer les fichiers All-certs.pem et final.pem :

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
           -out All-certs.p12 -clcerts -passin pass:check123 
           -passout pass:check123
      
    openssl>pkcs12 -in All-certs.p12 -out final-cert.pem 
           -passin pass:check123 -passout pass:check123
    

    Remarque: Dans cette commande, vous devez entrer un mot de passe pour les paramètres - passin et - passout. Le mot de passe qui est configuré pour - paramètre de passout doit apparier le paramètre de certpassword qui est configuré sur le WLC. Dans cet exemple, le mot de passe qui est configuré pour - passin et - les paramètres de passout est check123.

    final.pem est le fichier que nous devons télécharger au contrôleur LAN Sans fil. L'étape suivante est de télécharger ce fichier au WLC.

Téléchargez le tiers certificat au WLC utilisant le CLI

Terminez-vous ces étapes afin de télécharger le certificat enchaîné au WLC utilisant le CLI :

  1. Déplacez le fichier final.pem au répertoire par défaut sur votre serveur TFTP.

  2. Dans le CLI, émettez ces commandes afin de changer les configurations de téléchargement :

        >transfer download mode tftp
        >transfer download datatype webauthcert
        >transfer download serverip <TFTP server IP address>
        >transfer download path <absolute TFTP server path to the update file>
        >transfer download filename final.pem
    
  3. Entrez le mot de passe pour le fichier .pem de sorte que le système d'exploitation puisse déchiffrer la clé et le certificat SSL.

    >transfer download certpassword password
    

    Remarque: Soyez que la valeur pour le certpassword est identique que - le mot de passe sûr de paramètre de passout qui a été placé dans l'étape 4 du générer par section CSR. Dans cet exemple, le certpassword doit être check123.

  4. Émettez la commande de transfer download start afin de visualiser les configurations mises à jour. Écrivez alors y au prompt afin de confirmer les configurations en cours de téléchargement et commencer le téléchargement de certificat et de clé. Voici un exemple :

    (Cisco Controller) >transfer download start
     
    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem
     
    This may take some time.
    Are you sure you want to start? (y/N) y
     
    TFTP EAP Dev cert transfer starting.
     
    Certificate installed.
                            Reboot the switch to use new certificate.
  5. Redémarrez le WLC pour que les modifications les prennent effet.

Téléchargez le tiers certificat au WLC utilisant le GUI

Terminez-vous ces étapes afin de télécharger le certificat enchaîné au WLC utilisant le GUI :

  1. Copiez le certificat final.pem de périphérique sur le répertoire par défaut sur votre serveur TFTP.

  2. Choisissez la Sécurité > le Web authentiques > CERT afin d'ouvrir la page de certificat d'authentification Web.

  3. Cochez la case de certificat ssl de téléchargement afin de visualiser le certificat ssl de téléchargement des paramètres de serveur TFTP.

  4. Dans le champ IP Address, écrivez l'adresse IP du serveur TFTP.

    csr-chained-certificates-wlc-01.gif

  5. Dans le domaine de chemin de fichier, entrez dans le chemin du répertoire du certificat.

  6. Dans le domaine de nom du fichier, écrivez le nom du certificat.

  7. Dans le domaine de mot de passe de certificat, entrez le mot de passe qui a été utilisé pour protéger le certificat.

  8. Cliquez sur Apply.

  9. Après que le téléchargement soit complet, choisissez les commandes > la réinitialisation > la réinitialisation.

  10. S'incité à sauvegarder vos modifications, sauvegarde de clic et réinitialisation.

  11. Cliquez sur OK afin de confirmer votre décision de redémarrer le contrôleur.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 109597