ワイヤレス / モビリティ : ワイヤレス LAN(WLAN)

WLAN コントローラ(WLC)上でのサード パーティ証明書用の証明書署名要求(CSR)の生成

2006 年 9 月 8 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 1 月 17 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
CSR
      CSR の生成
      サード パーティ証明書の WLC へのアップロード
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、サード パーティの証明書を取得するための Certificate Signing Request(CSR; 証明書署名要求)の生成方法および証明書のワイヤレス LAN(WLAN)コントローラ(WLC)へのアップロード方法を説明します。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • WLC、Lightweight Access Point(LAP; Lightweight アクセス ポイント)、およびワイヤレス クライアントを基本動作用に設定する方法に関する知識

  • Secure Socket Layer(SSL)用の OpenSSL アプリケーションの使用方法に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 3.2.116.21 が稼働する Cisco 2006 WLC

  • Microsoft Windows 用の OpenSSL アプリケーション

  • サードパーティの認証局(CA)独自の登録ツール

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

デフォルトでは、WLC は組み込みの自己署名 SSL 証明書を使用します。 WLC は、次のいずれかの状況でこの SSL 証明書を使用します。

  • SSL ベースの Web 認証を使用して、クライアントが WLAN ネットワークに接続を試みるとき

  • セキュア HTTP(HTTPS)(WebAdmin 認証)を使用して、ユーザが WLC にログインを試みるとき

どちらの場合も、ユーザが最初に WLC にアクセスを試みたときに、次のような Web ブラウザのセキュリティ アラートをユーザが受信する場合があります。

csr_wlc1.gif

Web ブラウザのセキュリティ アラート

WLC にインストールされている証明書に対する信頼できるルート証明書がクライアントが存在しないので、WLC からの証明書を受け入れるように求めるメッセージがユーザに表示されます。 WLC にある SSL 証明書は、クライアント システムが信頼する証明書のリストには含まれていません。 このセキュリティ アラートのポップアップ ウィンドウが Web ブラウザに表示されないようにするには、次の 2 つの方法があります。

  • WLC にある自己署名 SSL 証明書を使用して、クライアント ステーションがこの証明書を受け入れるように設定する。

    WLC にある自己署名証明書を、クライアント ステーションの信頼できる証明書のリストに含ませる。

  • CSR を生成して、信頼できるルート証明書がクライアントにすでにインストールされている VeriSign などの発信元(サード パーティの CA)によって署名された証明書をインストールする。

    この作業は、OpenSSL のようなプログラムを使用して WLC からオフラインで行えます。 OpenSSL の詳細については、The OpenSSL Projectleavingcisco.com を参照してください。

このドキュメントでは、サード パーティ証明書の CSR を生成する 2 番目の方法およびサード パーティの証明書を WLC にインストールする方法について説明します。

CSR

証明書とは、サーバ、会社、または、その他の機関を識別し、その ID を公開キーと関連付けるために使用する電子的なドキュメントのことです。

CA とは、ID を検証して証明書を発行する機関のことです。 CA が発行する証明書では、証明書に指定された機関の名前(サーバやデバイスの名前など)と特定の公開キーが結び付けられています。 証明書によって証明された公開キーだけが、対応する秘密キーとともに動作します。この秘密キーは、証明書に指定されている機関が所有しています。 証明書は、他人になりすまして偽の公開キーを使用できないようにするのに役立ちます。

CSR とは、デジタル ID 証明書を申請するために、申請者が CA に送信するメッセージのことです。 ほとんどの場合、Entrust や VeriSign のようなサードパーティの CA 会社にデジタル証明書を作成してもらうには、CSR を送信する必要があります。

CSR の生成は、外部証明書をインストールしようとしているデバイスには依存しません。 そのため、CSR と秘密キーのファイルは、任意の Windows や UNIX のコンピュータで生成できます。 この場合、CSR の生成はスイッチやアプライアンスに依存しません。

WLC では CSR が生成されないので、OpenSSL などのサード パーティ アプリケーションを使用して WLC 用の CSR を生成する必要があります。

CSR の生成」セクションでは、秘密キーと CSR を生成するために OpenSSL アプリケーションで発行する必要があるコマンドについて説明されています。

CA からサード パーティの証明書を取得するには、次の手順に従います。

  1. 公開キーと秘密キーのペアを生成します。

  2. 公開キーを使用して、CSR を生成します。

  3. CSR を CA に送信します。

  4. CA によって作成された証明書を取得します。

  5. 証明書と秘密キーを組み合わせて pkcs12 ファイルを作成します。

  6. pkcs12 ファイルを Privacy Enhanced Mail(PEM; プライバシー エンハンスト メール)エンコーディング ファイルに変換します。

  7. 新しいサードパーティ証明書(.pem ファイル)を WLC にアップロードします。

CSR の生成

CSR を生成してサードパーティ CA に CSR を送信するには、次のステップを実行してください。

  1. OpenSSL アプリケーションをインストールして起動します。

    Windows の場合、デフォルトでは、openssl.exe は c:\openssl\bin にあります。

  2. 次のコマンドを発行します。

     OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
     

    このコマンドを発行すると、国名、州、都市などの情報の入力を求めるメッセージが表示されます。

  3. 必要な情報を入力します。

    正しく入力する必要がある最も重要な情報は Common Name です。 証明書の作成に使用するホスト名(Common Name)が、WLC の Virtual IP(VIP)インターフェイスの Domain Name System(DNS; ドメイン ネーム システム)のホスト名のエントリと一致していること、およびその名前が DNS に実在していることを確認します。 また、VIP インターフェイスを変更した後は、変更を有効にするためにシステムをリブートする必要があります。

    必要な詳細情報をすべて入力すると、次の 2 つのファイルが作成されます。

    • mykey.pem という名前の新しい秘密キー

    • myreq.pem という名前の CSR

    これらのファイルは、OpenSSL がインストールされているデフォルト ディレクトリ(この場合は c:\openssl\bin)に保存されます。 myreq.pem というファイルには、CSR の情報が格納されています。 サードパーティ CA にデジタル証明書を生成してもらうためには、この情報をサードパーティ CA に送信する必要があります。 OpenSSL アプリケーションを使用して、このコマンドを発行したときのコマンドの出力例を次に示します。

     OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
     Loading 'screen' into random state - done
     Generating a 1024 bit RSA private key
     ................................................................++++++
     ...................................................++++++
     writing new private key to 'mykey.pem'
     -----
     You are about to be asked to enter information that will be incorporated
     into your certificate request.
     What you are about to enter is what is called a Distinguished Name or a DN.
     There are quite a few fields but you can leave some blank
     For some fields there will be a default value,
     If you enter '.', the field will be left blank.
     -----
     Country Name (2 letter code) [AU]:US
     State or Province Name (full name) [Some-State]:CA
     Locality Name (eg, city) []:San Jose
     Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
     Organizational Unit Name (eg, section) []:CDE
     Common Name (eg, YOUR name) []:XYZ.ABC
     Email Address []:Test@abc.com
     
     Please enter the following 'extra' attributes
     to be sent with your certificate request
     A challenge password []:Test123
     An optional company name []:
     OpenSSL>
     

    注:チャレンジ パスワードを覚えてから、キー ファイルを保存してください。 ほとんどの場合、サードパーティ CA から送信されるデジタル署名証明書をインポートするときにパスワードが必要になります(ただし、生成されたデジタル証明書とともに、サードパーティ CA から新しいパスワードが送られてくる場合は例外です)。

  4. この時点で CSR の準備が整ったので、CSR の情報をコピーして、任意の CA の登録ツールに貼り付けます。

    この情報をコピーして登録フォームに貼り付けるためには、余分な文字を追加しないテキスト エディタでファイルを開きます。 Microsoft のメモ帳(Notepad)か UNIX の vi を使用することをお勧めします。 登録ツールを使用して CSR を送信する方法の詳細については、サードパーティ CA の Web サイトを参照してください。

    サードパーティ CA に CSR を送信したら、サードパーティ CA は証明書にデジタル署名をして、署名済みの証明書を電子メールで返信します。

  5. CA から返信された署名済みの証明書の情報をファイルにコピーします。

    この例では、CA.pem という名前のファイルになっています。

  6. CA.pem の証明書を秘密キーと組み合わせて、ファイルを .pem ファイルに変換します。

    OpenSSL アプリケーションで、次のコマンドを実行します。

     openssl>pkcs12 -export -in CA.pem -inkey mykey.pem -out CA.p12 -clcerts 
      -passin pass:check123 -passout pass:check123
     
     !--- このコマンドは 1 行に収める必要があります。
     
     openssl>pkcs12 -in CA.p12 -out final.pem -passin pass:check123 -passout pass:check123
     

    注:このコマンドでは、-passin-passout というパラメータにパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC に設定されている certpassword パラメータと一致している必要があります。 この例では、-passin-passout の両方のパラメータに check123 というパスワードが設定されています。 このドキュメントの「サード パーティ証明書の WLC へのアップロード」セクションの手順のステップ 4 では、certpassword パラメータの設定について説明されています。

    final.pem は、TFTP 経由で Cisco WLC に転送されるファイルです。

    この時点で、サードパーティ CA からの証明書が入手できたので、証明書を WLC にアップロードする必要があります。

サード パーティ証明書の WLC へのアップロード

TFTP サーバを使用して、新しい証明書をロードします。 TFTP を使用するには、次のガイドラインに従います。

  • サービス ポートを使用して証明書をロードする場合、サービス ポートではルーティングができないので、TFTP サーバと WLC は同じサブネットにある必要があります。 ただし、Distribution System(DS; 配信システム)のネットワーク ポートを使用して証明書をロードする場合は、TFTP サーバを任意のサブネットに置くことができます。

  • Cisco Wireless Control System(WCS)と TFTP サーバは同じ通信ポートを使用するので、TFTP サーバを WCS と同じコンピュータで動作させることはできません。

外部で生成された HTTPS 証明書をロードするには、次の手順を実行します。

  1. TFTP サーバのデフォルト ディレクトリに final.pem ファイルを移動します。

  2. コマンドライン インターフェイス(CLI)で、transfer download start コマンドを実行して、現在のダウンロードの設定を表示し、プロンプトが表示されたら n と入力します。

    次に例を示します。

     >transfer download start
     Mode........................................... TFTP
     Data Type...................................... Admin Cert
     TFTP Server IP................................. xxx.xxx.xxx.xxx
     TFTP Path...................................... <directory path>
     TFTP Filename..................................
     Are you sure you want to start? (y/n) n
     Transfer Canceled
     
  3. 次のコマンドを実行して、ダウンロードの設定を変更します。

     >transfer download mode tftp
     >transfer download datatype webauthcert
     >transfer download serverip <TFTP server IP address>
     
     >transfer download path <absolute TFTP server path to the update file>
     
     >transfer download filename final.pem
     
     
  4. オペレーティング システムで SSL キーと証明書を復号化できるように、.pem ファイルのパスワードを入力します。

     >transfer download certpassword password
     
     >Setting password to password
     

    注:CSR の生成」セクションのステップ 6 で説明している -passout パラメータのパスワードと同じパスワードが certpassword に設定されていることを確認してください。 この例では、certpasswordcheck123 にする必要があります。

  5. transfer download start コマンドを実行して、更新された設定を表示します。 プロンプトが表示されたら y と入力して、現在のダウンロード設定を確認し、証明書とキーのダウンロードを開始します。

    次に例を示します。

     (Cisco Controller) >transfer download start
     
     Mode............................................. TFTP
     Data Type........................................ Admin Cert
     TFTP Server IP................................... 172.16.1.1
     TFTP Packet Timeout.............................. 6
     TFTP Max Retries................................. 10
     TFTP Path........................................ c:\OpenSSL\bin/
     TFTP Filename.................................... final.pem
     
     This may take some time.
     Are you sure you want to start? (y/N) y
     
     TFTP Webadmin cert transfer starting.
     
     Certificate installed.
                             Reboot the switch to use new certificate.
     

    注:管理(admin)認証用(HTTPS を使用して WLC にログインしようとするユーザ用)のサードパーティ証明書をインストールするためには、transfer download datatype コマンドのデータ タイプを webadmincert に変更して、この手順のステップ 3 〜 5 を繰り返します。

  6. 次のコマンドを入力して HTTPS を有効にします。

     >config network secureweb enable
     
  7. SSL 証明書、キーおよびセキュアな Web パスワードを NVRAM に保存して、リブートしても変更が保持されるようにします。

     >save config
     Are you sure you want to save? (y/n) y
     Configuration Saved!
     
  8. コントローラをリブートします。

     >reset system
     Are you sure you would like to reset the system? (y/n) y
     System will now restart!
     
     The controller reboots.
     

確認

このセクションを使用して、設定が正しく動作していることを確認します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

show certificate summary コマンドを WLC で使用すれば、サードパーティの証明書が WLC で想定どおりに使用されているかどうかを確認できます。次に例を示します。

 (Cisco Controller) >show certificate summary
 Web Administration Certificate................... 3rd Party
 Web Authentication Certificate................... 3rd Party
 Certificate compatibility mode:.................. off
 

この出力では、Web 管理証明書および Web 認証証明書として、サードパーティの証明書が使用されていることが確認されています。

次回にユーザが SSL ベースの Web 認証を使用して WLAN ネットワークにログインを試みた場合、クライアント ブラウザでサポートされている信頼できる CA のリストに、WLC にインストールされているサードパーティの証明書が含まれていれば、Web のセキュリティ アラートを受け入れるように求めるメッセージがユーザに表示されることはありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報