无线 : 思科无线控制系统

在一个无线控制系统(WCS)上为第三方证书生成的证书签名请求(CSR)

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文解释如何生成证书签名请求(CSR)为了获取一第三方证书用一个无线控制系统(WCS)和如何上传在WCS上的证书。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • 知识如何安装和配置基本操作的WCS

  • 知识自已签署的和数字证书和与公共密钥基础设施(PKI)涉及的其他安全机制

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • WCS版本4.1.91.0

    注意: 使用一WCS的CSR生成是支持的只开始与WCS版本4.1.91.0。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

证书签名请求(CSR)

证书是用来标识服务器、公司或某个其他实体并将其身份与公钥相关联的电子文档。

自签名证书是由其自己的创建者签字的身份证书。即也创建证书的人在其合法签了字。

证书自已签署的或可以由从Certificate Authority (CA)的一个数字签名证实。

CA 是验证身份并颁发证书的实体。证书CA问题绑定一个特定的公共密钥对证书识别实体的名称,例如服务器或设备的名称。证书确认仅的公共密钥与证书识别的实体拥有的对应的专用密钥一起使用。证书可以帮助防止使用伪造的公钥进行假冒。

CSR 是申请人向 CA 发送的用于申请数字身份证书的消息。在CSR创建前,申请人首先生成密钥对,保守专用密钥秘密。CSR包含识别申请人,例如目录名称一旦X.509证书和申请人选择的公共密钥的信息。对应的专用密钥在CSR没有包括,然而用于数字式地签署整个请求。

CSR可以由或身份证明随附于要求的其他凭证认证机关,并且认证机关能欲知详情与申请人联系。大部分而言,在公司能创建数字证书前,一家第三方CA公司,例如Entrust或Verisign,要求CSR。

CSR 生成与您计划安装外部证书的设备无关。所以, CSR和专用密钥文件在支持CSR生成的所有单个机器可以生成。在这种情况下,CSR 生成与交换机或设备无关。

使用思科WCS,本文解释如何生成一第三方证书的CSR。

CSR生成使用WCS

使用在WCS安装目录的一工具联机在WCS的CSR可以生成。此工具呼叫keyadmin.bat。

注意: 如果WCS在Linux安装,您将必须使用keyadmin.sh工具联机在/opt/WCS4.1/bin/。此示例显示如何生成CSR和导入签名证书使用在Microsoft Windows 2003服务器安装的WCS。WCS的root用户必须运行此步骤,以便证书可以生成。

完成这些步骤为了访问工具:

  1. 去与Windows的Prompt命令联机。

  2. 去WCS安装目录,然后到文件夹bin

    示例如下:

    C:\CD Program Files
    
    C:\Program Files>CD WCS4.1
    
    C:\Program Files\WCS4.1> cd bin
    
    C:\Program Files\WCS4.1\bin>
    

    此文件夹将有用于生成CSR的keyadmin.bat工具

  3. 完成这些步骤为了生成CSR :

    1. 输入此命令:

      keyadmin -newdn -csr genkey [csrFileName]
      
      

      这生成一个新密钥/自签名证书对,并且输出了CSR到指定的文件。- newdn标志造成它提示输入证书的辨别名称名称字段。指定在DN CN字段将使用访问WCS为了避免浏览器警告的最终主机名是重要的。

      示例如下:

      C:\Program Files\WCS4.1\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM
      
      The WCS server is running
      Changes will take affect on the next server restart
      Enter the domain name of the server: TS-WEB
      Enter the name of your organizational unit: ABC
      Enter the name of your organization: XYZ
      Enter the name of your city or locality: Sanjose
      Enter the name of your state or province: CA
      Enter the two letter code for your country: US
      Generating RSA key
      Configuring Apache server for key
      Writing certificate signing request to C:\TEST\CSR-WCS.PEM
      

      一旦命令被执行, CSR信息生成并且写入到文件。

      CSR信息如下所示:

      -----BEGIN NEW CERTIFICATE REQUEST-----
      MIICnjCCAYYCAQAwWTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRAwDgYDVQQHEwdTYW
      MQwwCgYDVQQKEwNYWVoxDDAKBgNVBAsTA0FCQzEPMA0GA1UEAxMGVFMtV0VCMIIBIjANBgkq
      9w0BAQEFAAOCAQ8AMIIBCgKCAQEAkL51KTAwwE/HjKHSEoDcpNWvqv3iyGjmb5MHAl32/++Q2HqZ
      nXicY36VEscDKGYF4b+QMvR4jmRY5vwKioripPlhTKIt5xcIhESDR9k8fw62lWHV7nSu1vWF0zFn
      9NJm7X+l+2pUL8A1M5eMEq9uieVVFd5NJZOvmo11i51RJ3sjcHZhfnfO5cF2pLfHDtiA0OfPPM1P
      U2+fZ5qYTvWsZbB0hsS32xDrnEvSB5zzCpgzhNC0/BjaWq2f+uZxsATN3slL3G9upNp0dch0HKJW
      +gxboFO757f0NATZkAtg6q6lLMNVmXWsIlQkMmhXsPCNCWRlVlDCHTI02bdgeMst6wIDAQABoAAw
      DQYJKoZIhvcNAQEEBQADggEBAHhBMMi0KYf/MOg19pWhnBDV5OTU52NNmN3lm91Cpag6OerhHrg
      Ul6fPx9v847iX9gPa53J9It0/4d2t3QAsISIDiXMmhjvwnxpTUgjmquHAJbx4vNQc8UX9V016O4/
      UxOiRYA20Cegyuaq2ExoIsJCkWwymIoHS5Hpn2n9Qrulzny57097g1TrJUNdleVklg6R9lVWvdS+
      bEUGfG0iSKCTn6foZ2XECbvKL5QRSZM47CD3qpKnXE7FbJh9CCzNghzDtO1WmtGYYHaiVLxnDKlU
      C7qaEvx2DvVMEbcJ0WV5q9kvxKlY+FI5e42irQFDXnYJe45LmRnRj3tKd97l+D8=
      -----END NEW CERTIFICATE REQUEST-----
    2. 既然您的 CSR 已准备就绪,请将 CSR 信息复制并粘贴到任何 CA 注册工具。

      为了将信息复制并粘贴到注册表中,请在不添加额外字符的文本编辑器中打开该文件。Cisco 建议您使用 Microsoft Notepad 或 UNIX vi。有关如何通过注册工具提交 CSR 的详细信息,请参阅第三方 CA 的网站。

      在您提交CSR对第三方CA后,第三方CA数字式地签署证书并且退还签名证书通过电子邮件。

    3. 一旦从CA获得上一步签名证书,您能安装它通过输入此命令替换原始自签名证书:

      keyadmin importsignedcert [certFileName]
      
      

      证书和密钥存储在C:ProgramFilesWCS4.1webnmsapacheconfssl.crt

      证书应该是在PEM格式的一个签字的X.509证明,并且必须匹配由genkey命令最初生成的专用密钥(请参阅步骤1)。所以,如果再生成密钥,在您导入证书前,它将拒绝证书。

导入一个已存在的密钥/证书对对WCS

WCS也有提供导入一个已存在的密钥/证书对。为了执行此,请输入此命令:

keyadmin importkey [keyFileName] [certFileName]

密钥必须是一编码的PEM RSA专用密钥用开始开始RSA专用密钥,或者它可以是在PKCS8格式的一编码的PEM RSA专用密钥用线路开始开始专用密钥的线路。无论如何,密钥不能是保护的密码。

证书应该是匹配密钥的PEM-encoded X.509证书。

导入与中间CA的服务器证书

如果SSL服务器证书由中间CA签字,确保, WCS通行证返回全双工CA密钥链,您需要结合服务器证书、中间CA和在一新的PEM证书的根CA证书:

-----BEGIN CERTIFICATE-----
WCS SSL server certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA1 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA2 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CAx certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root CA certificate
-----END CERTIFICATE----- 

这新建的PEM证书文件是[certFileName]与命令一起使用:

keyadmin importsignedcert [certFileName]

and/or

keyadmin importkey [keyFileName] [certFileName]

验证

如果配置工作正如所料,请完成这些步骤为了验证:

  1. 在您导入签名证书对WCS后,请重新启动WCS使更改生效。

  2. 通过Web浏览器访问WCS。

    如果签名证书有效并且有一个匹配的域名,用户必须去权利登录页,不用与证书弹出式警告对话的问题。

故障排除

Keyadmin.bat工具不会生成在安装目录的CSR

keyadmin.bat在WCS \在Windows时的二进制文件目录执行,此错误出现:

Generating RSA key
Configuring Apache server for key
Writing certificate signing request to
Error generating key java.security.KeyStoreException: Could not create CSR
C:\Program Files\WCS4.x\bin>

为了解决此问题,请定义在若干其他目录的一个文件名除WCS的安装目录以外。示例如下:

C:\Program Files\WCS4.2.81.0\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM

The WCS server is running
Changes will take affect on the next server restart
Enter the domain name of the server: cisco
Enter the name of your organizational unit: cisco
Enter the name of your organization: cisco
Enter the name of your city or locality: SJ
Enter the name of your state or province: CA
Enter the two letter code for your country: US
Generating RSA key
Configuring Apache server for key
\Writing certificate signing request to C:\TEST\CSR-WCS.PEM

相关信息


Document ID: 98599