ワイヤレス / モビリティ : WLAN セキュリティ

サードパーティ証明書用 CSR の生成とチェーンされていない証明書の WLC へのダウンロード

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2006 年 9 月 8 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次

CSR

概要

このドキュメントでは、サードパーティの証明書を取得するための証明書署名要求(CSR)の生成方法およびチェーンされていない証明書のワイヤレス LAN(WLAN)コントローラ(WLC)へのダウンロード方法を説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • WLC、Lightweight アクセス ポイント(LAP)、およびワイヤレス クライアントのカードを基本動作用に設定する方法に関する知識

  • Secure Socket Layer(SSL)用の OpenSSL アプリケーションの使用方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 4.2.61.0 を実行する Cisco 4400 WLC

  • Microsoft Windows 用の OpenSSL アプリケーション

    WLC では、現在 OpenSSL 1.0 をサポートしていないため、OpenSSL 0.9.8 が必要です。

  • サードパーティの認証局(CA)固有の登録ツール

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

デフォルトでは、WLC は組み込みの自己署名 SSL 証明書を使用します。 WLC は、次のいずれかの状況でこの SSL 証明書を使用します。

  • SSL ベースの Web 認証を使用して、クライアントが WLAN ネットワークに接続を試みるとき

  • セキュア HTTP(HTTPS)(WebAdmin 認証)を使用して、ユーザが WLC にログインを試みるとき

どちらの場合も、最初に WLC にアクセスを試みたときに、次のような Web ブラウザのセキュリティ アラートが表示される場合があります。

/image/gif/paws/70584/csr-wlc-01.gif

WLC にインストールされる証明書に対する信頼されたルート証明書がクライアントが存在しないので、WLC からの証明書を受け入れるように求めるメッセージが表示されます。 WLC にある SSL 証明書は、クライアント システムが信頼する証明書のリストには含まれていません。 このセキュリティ アラートのポップアップ ウィンドウが Web ブラウザに表示されないようにするには、次の 2 つの方法があります。

  • WLC にある自己署名 SSL 証明書を使用して、クライアント ステーションがこの証明書を受け入れるように設定する。

    WLC にある自己署名証明書を、クライアント ステーションの信頼できる証明書のリストに含ませる。

  • CSR を生成して、信頼できるルート証明書がクライアントにすでにインストールされている VeriSign などの発信元(サード パーティの CA)によって署名された証明書をインストールする。

    この作業は、OpenSSL のようなプログラムを使用して WLC からオフラインで行えます。 OpenSSL の詳細については、OpenSSL Project leavingcisco.com を参照してください。

このドキュメントでは、サードパーティ証明書用の CSR の生成方法、およびチェーンされていない Web 認証証明書の WLC へのダウンロード方法について説明します。

チェーン証明書のサポート

バージョン 5.1.151.0 より前の WLC ソフトウェアは、チェーン証明書をサポートしません。 この問題を回避するために、以下のオプションの 1 つを使用します。

  • チェーンされていない証明書を CA から入手します。これは、署名ルートを証明できることを意味します。

  • すべての有効な中間 CA ルート証明書(信頼できるかできないかを問わない)をクライアントにインストールします。

バージョン 5.1.151.0 以降の WLC では、Web 認証でチェーン証明書をサポートします。 次の任意の Web 認証証明書を使用できます。

  • チェーン証明書

  • チェーンされていない証明書

  • 自動生成された証明書

WLC でのチェーン証明書の使用方法については、「サードパーティ証明書用 CSR の生成とチェーン証明書の WLC へのダウンロード」を参照してください。

CSR

証明書とは、サーバ、会社、または、その他の機関を識別し、その ID を公開キーと関連付けるために使用する電子的なドキュメントのことです。

CA とは、ID を検証して証明書を発行する機関のことです。 CA が発行する証明書では、証明書に指定された機関の名前(サーバやデバイスの名前など)と特定の公開キーが結び付けられています。 証明書によって証明された公開キーだけが、対応する秘密キーとともに動作します。この秘密キーは、証明書に指定されている機関が所有しています。 証明書は、他人になりすまして偽の公開キーを使用できないようにするのに役立ちます。

CSR とは、デジタル ID 証明書を申請するために、申請者が CA に送信するメッセージのことです。 ほとんどの場合、Entrust や VeriSign のようなサードパーティの CA 会社にデジタル証明書を作成してもらうには、CSR を送信する必要があります。

CSR の生成は、外部証明書をインストールしようとしているデバイスには依存しません。 そのため、CSR と秘密キーのファイルは、任意の Windows や UNIX のコンピュータで生成できます。 この場合、CSR の生成はスイッチやアプライアンスに依存しません。

WLC では CSR が生成されないため、OpenSSL などのサードパーティ アプリケーションを使用して WLC 用の CSR を生成する必要があります。

秘密キーと CSR を生成するために OpenSSL アプリケーションで発行する必要があるコマンドについては、「CSR の生成」セクションで説明します。

CA からサードパーティ証明書を取得するには、次の手順を実行します。

  1. 公開キーと秘密キーのペアを生成します。

  2. 公開キーを使用して、CSR を生成します。

  3. CSR を CA に送信します。

  4. CA によって作成された証明書を取得します。

  5. 証明書と秘密キーを組み合わせて pkcs12 ファイルを作成します。

  6. pkcs12 ファイルを Privacy Enhanced Mail(PEM; プライバシー エンハンスト メール)エンコーディング ファイルに変換します。

  7. 新しいサードパーティ証明書(.pem ファイル)を WLC にダウンロードします。

CSR の生成

CSR を生成してサードパーティ CA に CSR を送信するには、次のステップを実行してください。

  1. OpenSSL アプリケーションをインストールして起動します。

    WLC では、現在 OpenSSL 1.0 をサポートしていないため、OpenSSL 0.9.8 が必要です。

    Windows の場合、デフォルトでは、openssl.exe は c:\openssl\bin にあります。

  2. 次のコマンドを発行します。

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    WLC でサポートしている最大キー サイズは 2048 ビットです。

    このコマンドを発行すると、複数の情報を求めるメッセージが表示されます。 国名、州、都市などです。

  3. 必要な情報を入力します。

    正しく入力する必要がある最も重要な情報は Common Name です。 証明書の作成に使用するホスト名(Common Name)が、WLC の仮想インターフェイス IP に対するドメイン ネーム システム(DNS)のホスト名のエントリと一致していること、およびその名前が DNS に実際に存在していることを確認します。 また、VIP インターフェイスを変更した後は、変更を有効にするためにシステムをリブートする必要があります。

    DNS のホスト名は、WLC の仮想インターフェイスの [Interfaces] > [Edit] の下に入力する必要があります。 これは、Web 認証が有効な場合に、証明書の送信元を確認するために使用されます。 コントローラをリブートして、この変更を有効にします。

    必要な詳細情報をすべて入力すると、次の 2 つのファイルが作成されます。

    • mykey.pem という名前の新しい秘密キー

    • myreq.pem という名前の CSR

    これらのファイルは、OpenSSL がインストールされているデフォルト ディレクトリ(この場合は c:\openssl\bin)に保存されます。 myreq.pem というファイルには、CSR の情報が格納されています。 サードパーティ CA にデジタル証明書を生成してもらうためには、この情報をサードパーティ CA に送信する必要があります。 OpenSSL アプリケーションを使用して、このコマンドを発行したときのコマンドの出力例を次に示します。

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL>

    注:チャレンジ パスワードを覚えてから、キー ファイルを保存してください。 ほとんどの場合、サードパーティ CA から送信されるデジタル署名証明書をインポートするときにパスワードが必要になります(ただし、生成されたデジタル証明書とともに、サードパーティ CA から新しいパスワードが送られてくる場合は例外です)。

  4. この時点で CSR の準備が整ったので、CSR の情報をコピーして、任意の CA の登録ツールに貼り付けます。

    この情報をコピーして登録フォームに貼り付けるためには、余分な文字を追加しないテキスト エディタでファイルを開きます。 シスコでは、Microsoft のメモ帳または UNIX vi を使用することを推奨します。登録ツールを使用して CSR を送信する方法の詳細については、サードパーティ CA の Web サイトを参照してください。

    サードパーティ CA に CSR を送信したら、サードパーティ CA は証明書にデジタル署名をして、署名済みの証明書を電子メールで返信します。

  5. CA から返信された署名済みの証明書の情報をファイルにコピーします。

    この例では、CA.pem という名前のファイルになっています。

  6. CA.pem の証明書を秘密キーと組み合わせて、ファイルを .pem ファイルに変換します。

    OpenSSL アプリケーションで、次のコマンドを実行します。

    openssl>pkcs12 -export -in CA.pem -inkey mykey.pem -out CA.p12 -clcerts 
     -passin pass:check123 -passout pass:check123
    
    !--- This command should be on one line.
    
    openssl>pkcs12 -in CA.p12 -out final.pem -passin pass:check123 -passout pass:check123
    

    このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。 この例では、-passin -passout の両方のパラメータに対してパスワード check123 を設定しています。 このドキュメントの「サード パーティ証明書の WLC へのダウンロード」セクションにあるステップ 4 の手順に、certpassword パラメータの設定方法が示されています。

    final.pem は、Cisco WLC に TFTP 経由で転送されるファイルです。

    この時点で、サードパーティ CA からの証明書が入手できたので、証明書を WLC にダウンロードする必要があります。

サードパーティ証明書の WLC へのダウンロード

TFTP サーバを使用して、新しい証明書をロードします。 TFTP を使用するには、次のガイドラインに従います。

  • サービス ポートを使用して証明書をロードする場合、サービス ポートではルーティングができないので、TFTP サーバと WLC は同じサブネットにある必要があります。 ただし、Distribution System(DS; 配信システム)のネットワーク ポートを使用して証明書をロードする場合は、TFTP サーバを任意のサブネットに置くことができます。

  • Cisco Wireless Control System(WCS)と TFTP サーバは同じ通信ポートを使用するので、TFTP サーバを WCS と同じコンピュータで動作させることはできません。

外部で生成された HTTPS 証明書をロードするには、次の手順を実行します。

  1. TFTP サーバ上のデフォルト ディレクトリに final.pem ファイルを移動します。

  2. コマンドライン インターフェイス(CLI)で、transfer download start コマンドを実行して、現在のダウンロードの設定を表示し、プロンプトが表示されたら n と入力します。

    次に例を示します。

    >transfer download start
    Mode........................................... TFTP
    Data Type...................................... Admin Cert
    TFTP Server IP................................. xxx.xxx.xxx.xxx
    TFTP Path...................................... <directory path>
    TFTP Filename..................................
    Are you sure you want to start? (y/n) n
    Transfer Canceled
  3. 次のコマンドを実行して、ダウンロードの設定を変更します。

    >transfer download mode tftp
    >transfer download datatype webauthcert
    >transfer download serverip <TFTP server IP address>
    
    >transfer download path <absolute TFTP server path to the update file>
    
    >transfer download filename final.pem
    
    
  4. オペレーティング システムで SSL キーと証明書を復号化できるように、.pem ファイルのパスワードを入力します。

    >transfer download certpassword password
    
    >Setting password to password
    

    : certpassword が、「CSR の生成」セクションのステップ 6 で説明した -passout パラメータのパスワードと同一であることを確認します。 この例では、certpasswordcheck123 である必要があります。

  5. transfer download start コマンドを発行して、更新された設定を表示します。 次に、プロンプトで y と入力して、現在のダウンロード設定を確認し、証明書とキーのダウンロードを開始します。

    次に例を示します。

    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Admin Cert
    TFTP Server IP................................... 172.16.1.1
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ c:\OpenSSL\bin/
    TFTP Filename.................................... final.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP Webadmin cert transfer starting.
    
    Certificate installed.
                            Reboot the switch to use new certificate.
    

    管理(admin)認証用(HTTPS を使用して WLC にログインしようとするユーザ用)のサードパーティ証明書をインストールするためには、transfer download datatype コマンドでデータ タイプを webadmincert に変更して、この手順のステップ 3 ~ 5 を繰り返します。

  6. 次のコマンドを入力して HTTPS を有効にします。

    >config network secureweb enable
    
  7. SSL 証明書、キーおよびセキュアな Web パスワードを NVRAM に保存して、リブートしても変更が保持されるようにします。

    >save config
    Are you sure you want to save? (y/n) y
    Configuration Saved!
  8. コントローラをリブートします。

    >reset system
    Are you sure you would like to reset the system? (y/n) y
    System will now restart!
    
    The controller reboots.

    証明書がすでにインストールされている場合は、新規の証明書をダウンロードする手順で、古い証明書が消去されます。

確認

ここでは、設定が正常に動作していることを確認します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

WLC で show certificate summary コマンドを 使用すると、サードパーティ証明書が WLC で想定どおりに使用されているかどうかを確認できます。 次に例を示します。

(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... 3rd Party
Certificate compatibility mode:.................. off

この出力では、Web 管理証明書および Web 認証証明書として、サードパーティの証明書が使用されていることが確認されています。

次回にユーザが SSL ベースの Web 認証を使用して WLAN ネットワークにログインを試みた場合、クライアント ブラウザでサポートされている信頼できる CA のリストに、WLC にインストールされているサードパーティの証明書が含まれていれば、Web のセキュリティ アラートを受け入れるように求めるメッセージがユーザに表示されることはありません。

トラブルシューティング

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

WLC で debug pm pki enable コマンドを使用できます。 WLC に証明書をインストールする際に、このコマンドを実行します。

コントローラとの間で何らかの転送が発生したときはいつでも、発生した内容の詳細を確認するために、debug transfer all enable コマンドを作動させて転送を再実行できます。 転送が送信中に失敗する(適切なビット数またはバイト数がサーバからコントローラに移らない)ことがあります。また、ファイルがそこに到達しても、コントローラがその内容を判読できない、あるいはその内容が目的の機能に適切でない場合があります。


関連情報


Document ID: 70584