ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

LWAPP で変換された AP 用のコントローラへの自己署名証明書の手動追加

2006 年 6 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 8 月 4 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
SHA1 キー ハッシュの検索
WLC への SSC の追加
      タスク
      GUI による設定
      CLI による設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco Wireless LAN(WLAN)Controller(WLC; ワイヤレス LAN コントローラ)に Self-Signed Certificate(SSC; 自己署名証明書)を手動で追加するために使用できる方法を説明します。

アクセス ポイント(AP)の SSC は、登録する権限を AP が持っているネットワーク内のすべての WLC 上に置いておく必要があります。通常は、同じモビリティ グループ内のすべての WLC に SSC を適用します。アップグレード ユーティリティの使用時に SSC が WLC に追加されない場合は、このドキュメントの手順に従って WLC に SSC を手動で追加する必要があります。別のネットワークに AP を移動するときや、既存のネットワークに WLC が追加されたときにも、この手順を行う必要があります。

Lightweight AP Protocol(LWAPP; Lightweight AP プロトコル)で変換された AP が WLC に関連付けられないときには、この問題が発生している可能性があります。 関連付けの問題をトラブルシューティングするときに、次の dubug コマンドを使用すると、次のような出力が表示されます。

  • debug pm pki enable コマンドを発行すると、次のように表示されます。

      (Cisco Controller) >debug pm pki enable
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: locking ca cert table
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: calling x509_decode()
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
      California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1130-00146a1b3744 
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: <issuer>  L=San Jose, ST=
      California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1130-00146a1b3744 
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Mac Address in subject is 
      00:XX:XX:XX:XX
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
      Thu Jan 26 20:22:50 2006: sshpmGetIssuerHandles: SSC is not allowed by config; 
      bailing...
      Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: called with (nil)
      Thu Jan 26 20:22:50 2006: sshpmFreePublicKeyHandle: NULL argument.
      
  • debug lwapp events enable コマンドを発行すると、次のように表示されます。

      (Cisco Controller) >debug lwapp errors enable
      ....
      Thu Jan 26 20:23:27 2006: Received LWAPP DISCOVERY REQUEST from AP 
      00:13:5f:f8:c3:70 to ff:ff:ff:ff:ff:ff on port '1'
      Thu Jan 26 20:23:27 2006: Successful transmission of LWAPP Discovery-Response to 
      AP 00:13:5f:f8:c3:70 on Port 1
      Thu Jan 26 20:23:27 2006: Received LWAPP JOIN REQUEST from AP 00:13:5f:f9:dc:b0 to 
      06:0a:10:10:00:00 on port '1'
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: locking ca cert table
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_alloc() for user cert
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: calling x509_decode()
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <subject> L=San Jose, ST=
      California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1130-00146a1b321a 
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: <issuer>  L=San Jose, ST=
      California, C=US, O=Cisco Systems, MAILTO=support@cisco.com, CN=C1130-00146a1b321a 
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Mac Address in subject is 
      00:14:6a:1b:32:1a
      
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.
      Thu Jan 26 20:23:27 2006: sshpmGetIssuerHandles: SSC is not allowed by config; 
      bailing...
      Thu Jan 26 20:23:27 2006: LWAPP Join-Request does not include valid certificate 
      in CERTIFICATE_PAYLOAD from AP 00:13:5f:f9:dc:b0.
      Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: called with (nil)
      Thu Jan 26 20:23:27 2006: sshpmFreePublicKeyHandle: NULL argument.
      Thu Jan 26 20:23:27 2006: Unable to free public key for AP  00:13:5F:F9:DC:B0 
      Thu Jan 26 20:23:27 2006: spamDeleteLCB: stats timer not initialized for AP 
      00:13:5f:f9:dc:b0
      Thu Jan 26 20:23:27 2006: spamProcessJoinRequest : spamDecodeJoinReq failed 
      

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • アップグレード ユーティリティで生成された SSC が WLC に格納されていない。

  • AP には SSC が格納されている。

  • WLC と AP で Telnet が有効になっている。

  • 最小バージョンのプレ LWAPP Cisco IOS(R) ソフトウェアのコードが、アップグレード対象の AP に存在する。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • SSC がインストールされていない、ファームウェア 3.2.116.21 が稼働する Cisco 2006 WLC

  • SSC がインストールされている Cisco Aironet 1230 シリーズ AP

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメント内で使用されているデバイスは、すべてクリアな(デフォルト)設定で作業が開始されています。対象のネットワークが実稼働中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

シスコの中央集中型 WLAN アーキテクチャでは、Lightweight モードで AP が動作します。 AP は LWAPP を使用して Cisco WLC と関連付けられます。 LWAPP は、セットアップ、パスの認証、および実行時の動作に関するコントロール メッセージが定義された Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)のドラフト プロトコルです。 LWAPP には、データ トラフィックのトンネリング メカニズムも定義されています。

Lightweight AP(LAP)は、LWAPP ディスカバリ メカニズムを使用して WLC を検出します。 次に、LAP は LWAPP 加入要求を WLC に送信します。 WLC は、LAP が WLC に加入できるようにする LWAPP 加入応答を LAP に送信します。 LAP と WLC のリビジョンが一致しない場合は、LAP が WLC に加入する際に、LAP が WLC のソフトウェアをダウンロードします。 その後、LAP は完全に WLC に制御されるようになります。

LWAPP は、セキュア キーを配布することにより、AP と WLC の間の制御通信のセキュリティを確保しています。 セキュア キーの配布には、プロビジョニング済の X.509 デジタル証明書が LAP と WLC の両方に必要です。 工場出荷時にインストールされている証明書は「MIC」と呼ばれています。MIC は Manufacturing Installed Certificate(製造元でインストールされる証明書)の略です。 2005 年 7 月 18 日よりも前に出荷された Aironet AP には MIC がインストールされていません。 そのため、これらの AP では、Lightweight モードで動作するように変換された際に、SSC が作成されます。 コントローラは、特定の AP を認証するときに、SSC を受け入れるようにプログラムされています。

アップグレード プロセスを次に示します。

  1. ログイン クレデンシャルに加えて、AP とその IP アドレスのリストが設定されたファイルを入力として処理するアップグレード ユーティリティをユーザが実行します。

  2. AP との Telnet セッションがユーティリティによって確立され、AP のアップグレードを準備するために、入力ファイルに指定されている一連の Cisco IOS ソフトウェアのコマンドが送信されます。 これらのコマンドには、SSC を作成するコマンドが含まれています。 また、特定の SSC AP の認証が許可されるようにデバイスをプログラムするために、WLC との Telnet セッションもこのユーティリティによって確立されます。

  3. 次に AP が WLC に加入できるように、Cisco IOS ソフトウェア リリース 12.3(7)JX がユーティリティによって AP にロードされます。

  4. AP が WLC に加入すると、完全な Cisco IOS ソフトウェアのバージョンを AP が WLC からダウンロードします。 Wireless Control System(WCS)の管理ソフトウェアへのインポートが可能な AP とそれに対応する SSC キー ハッシュ値のリストが格納された出力ファイルが、アップグレード ユーティリティによって生成されます。

  5. これで、WCS はこの情報をネットワーク上の他の WLC に送信できます。

AP が WLC に加入した後は、必要に応じてネットワーク上の任意の WLC に AP を再割り当てできます。

SHA1 キー ハッシュの検索

AP の変換を実行したコンピュータを使用できる場合は、シスコのアップグレード ツールのディレクトリにある .csv ファイルから Secure Hash Algorithm 1(SHA1)のキー ハッシュを取得できます。.csv ファイルが使用できない場合は、debug コマンドを WLC で発行して、SHA1 キー ハッシュを取得します。

次の手順を実行します。

  1. AP の電源を投入してネットワークに接続します。

  2. WLC のコマンドライン インターフェイス(CLI)のデバッグ機能を有効にします。

    そのために、debug pm pki enable コマンドを発行します。

      (Cisco Controller) >debug pm pki enable
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: getting (old) aes ID cert handle...
      Mon May 22 06:34:10 2006: sshpmGetCID: called to evaluate <bsnOldDefaultIdCert>
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, CA cert 
      >bsnOldDefaultCaCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 1, CA cert 
      >bsnDefaultRootCaCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 2, CA cert 
      >bsnDefaultCaCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 3, CA cert 
      >bsnDefaultBuildCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 4, CA cert 
      >cscoDefaultNewRootCaCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 5, CA cert 
      >cscoDefaultMfgCaCert<
      Mon May 22 06:34:10 2006: sshpmGetCID: comparing to row 0, ID cert 
      >bsnOldDefaultIdCert<
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Calculate SHA1 hash on Public Key 
      Data
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  30820122 300d0609 
      2a864886 f70d0101 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  01050003 82010f00 
      3082010a 02820101 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  00c805cd 7d406ea0 
      cad8df69 b366fd4c 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  82fc0df0 39f2bff7 
      ad425fa7 face8f15 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f356a6b3 9b876251 
      43b95a34 49292e11 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  038181eb 058c782e 
      56f0ad91 2d61a389 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  f81fa6ce cd1f400b 
      b5cf7cef 06ba4375 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  dde0648e c4d63259 
      774ce74e 9e2fde19 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  0f463f9e c77b79ea 
      65d8639b d63aa0e3 
      Mon May 22 06:34:10 2006: sshpmGetIssuerHandles: Key Data  7dd485db 251e2e07 
      9cd31041 b0734a55 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  463fbacc 1a61502d 
      c54e75f2 6d28fc6b 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  82315490 881e3e31 
      02d37140 7c9c865a 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  9ef3311b d514795f 
      7a9bac00 d13ff85f 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  97e1a693 f9f6c5cb 
      88053e8b 7fae6d67 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  ca364f6f 76cf78bc 
      bc1acc13 0d334aa6 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  031fb2a3 b5e572df 
      2c831e7e f765b7e5 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  fe64641f de2a6fe3 
      23311756 8302b8b8 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  1bfae1a8 eb076940 
      280cbed1 49b2d50f 
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: Key Data  f7020301 0001
      Mon May 22 06:34:14 2006: sshpmGetIssuerHandles: SSC Key Hash is 
      9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
      Mon May 22 06:34:14 2006: LWAPP Join-Request MTU path from AP 00:0e:84:32:04:f0 
      is 1500, remote debug mode is 0
      Mon May 22 06:34:14 2006: spamRadiusProcessResponse: AP Authorization failure for 
      00:0e:84:32:04:f0
      

WLC への SSC の追加

タスク

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

GUI による設定

GUI から次の手順を実行します。

  1. Security > AP Policies の順に選択して、Accept Self Signed Certificate の横の Enabled をクリックします。

    manual_add_ssc1.gif

    Enabled をクリック
    ※ 画像をクリックすると、大きく表示されます。

  2. Certificate Type ドロップダウン メニューから SSC を選択します。

    manual_add_ssc2.gif

    SSC を選択
    ※ 画像をクリックすると、大きく表示されます。

  3. AP の MAC アドレスとハッシュ キーを入力して、Add をクリックします。

CLI による設定

CLI から次の手順を実行します。

  1. Accept Self Signed Certificate を WLC で有効にします。

    コマンドは、config auth-list ap-policy ssc enable になります。

      (Cisco Controller) >config auth-list ap-policy ssc enable
      
  2. AP の MAC アドレスとキー ハッシュを認証リストに追加します。

    コマンドは、config auth-list add ssc AP_MAC AP_key になります。

      (Cisco Controller) >config auth-list add ssc 00:0e:84:32:04:f0 
      9e4ddd8dfcdd8458ba7b273fc37284b31a384eb9
      
      !--- このコマンドは 1 行に収める必要があります。
      
      

確認

このセクションを使用して、設定が正しく動作していることを確認します。

GUI による確認

次の手順を実行します。

  1. AP Policies ウィンドウで、AP の MAC アドレスと SHA1 キー ハッシュが AP Authorization List 領域に表示されることを確認します。

    manual_add_ssc3.gif

    AP Policies ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

  2. All APs ウィンドウで、すべての AP が WLC に登録されていることを確認します。

    manual_add_ssc4.gif

    All APs ウィンドウ
    ※ 画像をクリックすると、大きく表示されます。

CLI による確認

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show auth-list — AP 認証リストが表示されます。

  • show ap summary — 接続されているすべての AP の概要が表示されます。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報