ワイヤレス : Cisco Wireless Control System(WCS)

Wireless Control System(WCS)でのサードパーティ証明書のための証明書署名要求(CSR)の生成

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料にワイヤレス制御 システム(WCS)が付いているサード パーティ 認証を得るために証明書署名要求(CSR)を生成する方法をおよび WCS に認証をアップロードする方法を説明されています。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • 基本動作のための WCS をインストールし設定する方法のナレッジ

  • 自己署名のナレッジおよびデジタル証明書および公開鍵インフラストラクチャ (PKI)に関する他のセキュリティ機構

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • WCS バージョン 4.1.91.0

    WCS を使用する CSR 生成は WCS バージョン 4.1.91.0 からサポートされた開始だけです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

証明書署名要求(CSR)

証明書とは、サーバ、会社、または、その他の機関を識別し、その ID を公開キーと関連付けるために使用する電子的なドキュメントのことです。

自己署名証明書は自身の創作者によって署名される ID証明です。 すなわち、認証をまた作成した人は合法性を受け入れました。

認証は自己署名である場合もありましたりまたは認証局 (CA)からのデジタル署名によって証明することができます。

CA とは、ID を検証して証明書を発行する機関のことです。 CA 問題が認証が識別するエンティティの名前に特定の公開キーを結合 することサーバまたはデバイスの名前のような認証。 認証が証明する公開キーだけ認証が識別するエンティティによって所有されている対応する秘密キーを使用します。 証明書は、他人になりすまして偽の公開キーを使用できないようにするのに役立ちます。

CSR とは、デジタル ID 証明書を申請するために、申請者が CA に送信するメッセージのことです。 CSR が作成される前に、志願者は最初にプライベートキーを秘密にするキーペアを作成します。 X.509 認証の場合にはディレクトリ 名のような志願者、および志願者が選択する公開キーを識別する CSR は情報が含まれています。 CSR に対応する秘密キーが含まれていませんが、デジタルで全体の要求に署名するのに使用されています。

認証局によって必要な他の資格情報か身元を証明するものと一緒に CSR が伴い認証局は志願者に詳細については連絡できます。 ほとんどの場合、サード パーティ CA 会社は、Entrust または VeriSign のような、会社がデジタル認証を作成できる前に CSR を必要とします。

CSR の生成は、外部証明書をインストールしようとしているデバイスには依存しません。 従って、CSR およびプライベートキーファイルは CSR 生成をサポートするあらゆる個々 の マシンで生成することができます。 この場合、CSR の生成はスイッチやアプライアンスに依存しません。

この資料に Cisco WCS を使用してサード パーティ 認証のための CSR を生成する方法を説明されています。

WCS を使用する CSR 生成

WCS の CSR は WCS インストール ディレクトリで利用可能 な ツールを使用して生成することができます。 このツールは keyadmin.bat と呼ばれます

WCS が Linux でインストールされている場合、利用可能 な /opt/WCS4.1/bin/keyadmin.sh ツールを使用しなければなりません。 この例に CSR を生成し Microsoft Windows 2003 Server でインストールされる WCS を使用して署名入り認証をインポートする方法を示されています。 WCS のルート ユーザは認証が生成することができるようにこのプロシージャを実行する必要があります。

ツールにアクセスするためにこれらのステップを完了して下さい:

  1. Windows と利用可能 な コマンド プロンプトに行って下さい。

  2. フォルダ ビンに、そして WCS インストール ディレクトリは行きます。

    次に例を示します。

    C:\CD Program Files
    
    C:\Program Files>CD WCS4.1
    
    C:\Program Files\WCS4.1> cd bin
    
    C:\Program Files\WCS4.1\bin>
    

    CSR を生成するのに使用されているこのフォルダに keyadmin.bat ツールがあります。

  3. CSR を生成するためにこれらのステップを完了して下さい:

    1. コマンド

      keyadmin -newdn -csr genkey [csrFileName]
      
      

      これは New 鍵/自己署名証明書ペアを作成し、指定 ファイルに CSR を出力しました。 - newdn フラグによりそれは認証の識別名フィールドのためにプロンプト表示します。 ブラウザ警告を避けるために DN の CN フィールドの WCS にアクセスするのに使用する最終的なホスト名を規定 することは重要です。

      次に例を示します。

      C:\Program Files\WCS4.1\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM
      
      The WCS server is running
      Changes will take affect on the next server restart
      Enter the domain name of the server: TS-WEB
      Enter the name of your organizational unit: ABC
      Enter the name of your organization: XYZ
      Enter the name of your city or locality: Sanjose
      Enter the name of your state or province: CA
      Enter the two letter code for your country: US
      Generating RSA key
      Configuring Apache server for key
      Writing certificate signing request to C:\TEST\CSR-WCS.PEM
      

      コマンドが実行されれば、CSR 情報はファイルに生成され、書かれています。

      このように CSR 情報な:

      -----BEGIN NEW CERTIFICATE REQUEST-----
      MIICnjCCAYYCAQAwWTELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRAwDgYDVQQHEwdTYW
      MQwwCgYDVQQKEwNYWVoxDDAKBgNVBAsTA0FCQzEPMA0GA1UEAxMGVFMtV0VCMIIBIjANBgkq
      9w0BAQEFAAOCAQ8AMIIBCgKCAQEAkL51KTAwwE/HjKHSEoDcpNWvqv3iyGjmb5MHAl32/++Q2HqZ
      nXicY36VEscDKGYF4b+QMvR4jmRY5vwKioripPlhTKIt5xcIhESDR9k8fw62lWHV7nSu1vWF0zFn
      9NJm7X+l+2pUL8A1M5eMEq9uieVVFd5NJZOvmo11i51RJ3sjcHZhfnfO5cF2pLfHDtiA0OfPPM1P
      U2+fZ5qYTvWsZbB0hsS32xDrnEvSB5zzCpgzhNC0/BjaWq2f+uZxsATN3slL3G9upNp0dch0HKJW
      +gxboFO757f0NATZkAtg6q6lLMNVmXWsIlQkMmhXsPCNCWRlVlDCHTI02bdgeMst6wIDAQABoAAw
      DQYJKoZIhvcNAQEEBQADggEBAHhBMMi0KYf/MOg19pWhnBDV5OTU52NNmN3lm91Cpag6OerhHrg
      Ul6fPx9v847iX9gPa53J9It0/4d2t3QAsISIDiXMmhjvwnxpTUgjmquHAJbx4vNQc8UX9V016O4/
      UxOiRYA20Cegyuaq2ExoIsJCkWwymIoHS5Hpn2n9Qrulzny57097g1TrJUNdleVklg6R9lVWvdS+
      bEUGfG0iSKCTn6foZ2XECbvKL5QRSZM47CD3qpKnXE7FbJh9CCzNghzDtO1WmtGYYHaiVLxnDKlU
      C7qaEvx2DvVMEbcJ0WV5q9kvxKlY+FI5e42irQFDXnYJe45LmRnRj3tKd97l+D8=
      -----END NEW CERTIFICATE REQUEST-----
    2. この時点で CSR の準備が整ったので、CSR の情報をコピーして、任意の CA の登録ツールに貼り付けます。

      この情報をコピーして登録フォームに貼り付けるためには、余分な文字を追加しないテキスト エディタでファイルを開きます。 シスコでは、Microsoft のメモ帳または UNIX vi を使用することを推奨します。登録ツールを使用して CSR を送信する方法の詳細については、サードパーティ CA の Web サイトを参照してください。

      サード パーティ CA に CSR を入れた後、サード パーティ CA はデジタルで 認証に署名し、電子メールで署名入り認証を送信 します。

    3. CA から署名入り認証を取り戻せば、このコマンドの入力とオリジナル自己署名証明書を取替えるためにそれをインストールできます:

      keyadmin importsignedcert [certFileName]
      
      

      認証およびキーは C:\ProgramFiles\WCS4.1\webnms\apache\conf\ssl.crt で保存されます。

      認証は PEM 形式の署名された X.509 認証であるはずで genkey コマンドによって最初に生成されたプライベートキーを一致する必要があります(ステップを 1)参照して下さい。 従って認証をインポートする前に、キーを再度生成すれば、それは認証を拒否します。

WCS に既存キー/認証ペアをインポートして下さい

WCS にまた既存キー/認証ペアをインポートするプロビジョンがあります。 これを行うために、このコマンドを入力して下さい:

keyadmin importkey [keyFileName] [certFileName]

キーは始める RSA プライベートキーを開始するか、またはそれが始めるプライベートキーを開始する行との PKCS8 形式の PEM 符号化された RSA プライベートキーである場合もある行が付いている PEM 符号化された RSA プライベートキーである必要があります。 いずれにしても、キーは保護されるパスワードでなければなりません。

認証はキーと一致する PEM 符号化された X.509 認証であるはずです。

中間 CA のサーバ証明をインポートして下さい

SSL サーバ証明が中間 CA によって署名する場合、WCS が完全な CA keychain を渡すことを確かめるために、新しい PEM 認証のサーバ証明、中間 CA およびルートCA認証を結合する必要があります:

-----BEGIN CERTIFICATE-----
WCS SSL server certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA1 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CA2 certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
intermediate CAx certificate
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
root CA certificate
-----END CERTIFICATE----- 

この新しい PEM 証明書ファイルは[certFileName]コマンドで使用されるためにです:

keyadmin importsignedcert [certFileName]

and/or

keyadmin importkey [keyFileName] [certFileName]

確認

設定が予想通り機能するかどうか確認するためにこれらのステップを完了して下さい:

  1. WCS に署名入り認証をインポートした後、WCS を変更を有効にするために再起動して下さい。

  2. Webブラウザによって WCS にアクセスして下さい。

    署名入り認証は有効で、一致するドメイン名がある場合、ユーザは認証ポップアップ警告ダイアログにおける問題なしでログイン ページに正しく行く必要があります。

トラブルシューティング

Keyadmin.bat ツールはインストール ディレクトリの CSR を生成しません

keyadmin.bat が Windows の WCS \ビンディレクトリで実行されたとき、このエラーは現われます:

Generating RSA key
Configuring Apache server for key
Writing certificate signing request to
Error generating key java.security.KeyStoreException: Could not create CSR
C:\Program Files\WCS4.x\bin>

この問題を解決するために、WCS のインストール ディレクトリのほかの他のあるディレクトリのファイル名を定義して下さい。 次に例を示します。

C:\Program Files\WCS4.2.81.0\bin>keyadmin -newdn -csr genkey C:\TEST\CSR-WCS.PEM

The WCS server is running
Changes will take affect on the next server restart
Enter the domain name of the server: cisco
Enter the name of your organizational unit: cisco
Enter the name of your organization: cisco
Enter the name of your city or locality: SJ
Enter the name of your state or province: CA
Enter the two letter code for your country: US
Generating RSA key
Configuring Apache server for key
\Writing certificate signing request to C:\TEST\CSR-WCS.PEM

関連情報


Document ID: 98599