ワイヤレス : Cisco 4400 ???? Wireless LAN Controller

サードパーティ証明書用 CSR の生成とチェーン証明書の WLC へのダウンロード

2012 年 9 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2010 年 6 月 28 日) | フィードバック

サードパーティ証明書用 CSR の生成とチェーン証明書の WLC へのダウンロード

概要

このドキュメントでは、サードパーティの証明書を取得するための証明書署名要求(CSR)の生成方法およびワイヤレス LAN(WLAN)コントローラ(WLC)へのチェーン証明書のダウンロード方法を説明します。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • WLC、Lightweight アクセス ポイント(LAP)、およびワイヤレス クライアントのカードを基本動作用に設定する方法に関する知識

  • OpenSSL アプリケーションの使用方法に関する知識

  • 公開キーのインフラストラクチャおよびデジタル証明書に関する知識

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ファームウェア バージョン 5.1.151.0 が稼働している Cisco 4400 WLC

  • Microsoft Windows 用の OpenSSL アプリケーション

  • サードパーティの認証局(CA)固有の登録ツール

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

チェーン証明書

証明書チェーンはシーケンスになった証明書です。チェーン内の各証明書は、後続の証明書によって署名されています。証明書チェーンは、ピア証明書から信頼できる認証局(CA)証明書への信頼のチェーンを築くことを目的としています。CA では、署名を行うことにより、ピア証明書に含まれているアイデンティティを証明します。この CA が信頼できる CA の 1 つであれば、つまり CA 証明書のコピーがルート証明書ディレクトリにあれば、署名されたピア証明書も信頼できることになります。

クライアントは、既知の CA によって作成された証明書でなければ受け入れないことがあります。通常、クライアントでは、証明書の妥当性を確認できないと示します。これは、証明書の署名がクライアントのブラウザに設定されていない 中間 CA による場合です。その場合は、チェーン SSL 証明書または証明書グループを使用する必要があります。

チェーン証明書のサポート

5.1.151.0 よりも前のバージョンのコントローラでは、デバイス証明書だけを Web 認証証明書として使用でき、デバイス証明書にチェーンされた CA ルートを含むことはできません(チェーン証明書なし)。

バージョン 5.1.151.0 以降のコントローラの場合は、デバイス証明書を Web 認証用のチェーン証明書としてダウンロードできます。

証明書のレベル

  • レベル 0:WLC 上のサーバ証明書のみを使用します。

  • レベル 1:WLC 上のサーバ証明書および CA ルート証明書を使用します。

  • レベル 2:WLC 上のサーバ証明書、単一の CA 中間証明書、CA ルート証明書を使用します。

  • レベル 3:WLC 上のサーバ証明書、2 個の CA 中間証明書、CA ルート証明書を使用します。

10 KB を超えるサイズのチェーン証明書は WLC 上でサポートされていません。ただし、この制限は、WLC 7.0.230.0 以降のリリースにはありません。

注:チェーン証明書は、Web 認証のみでサポートされています。管理証明書ではサポートされていません。

次の任意の Web 認証証明書を使用できます。

  • チェーン証明書

  • チェーンされていない証明書

  • 自動生成された証明書

5.1.151.0 よりも前のバージョンのソフトウェアを使用している WLC の場合は、次のいずれかのオプションを使用することが回避策になります。

  • チェーンされていない証明書を CA から入手します。これは、署名ルートを証明できることを意味します。

  • すべての有効な中間 CA ルート証明書(信頼できるかできないかを問わない)をクライアントにインストールします。

チェーンされていない証明書を WLC 上で使用する方法については、「WLC へのサード・パーティ認証およびダウンロードによって解放される認証のための生成する CSR」を参照してください。

このドキュメントでは、チェーン Secure Socket Layer(SSL)証明書を WLC に適切にインストールする方法を説明します。

CSR の生成

CSR を生成するには、次の手順を実行します。

  1. OpenSSL アプリケーションをインストールして起動します。Windows のデフォルトでは、openssl.exe は C:\ > openssl > bin にあります。

    注:WLC では、現在 OpenSSL 1.0 をサポートしていないため、OpenSSL 0.9.8 が必要です。

  2. 次のコマンドを発行します。

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    :WLC でサポートしている最大キー サイズは 2048 ビットです。

    このコマンドを発行すると、複数の情報を求めるメッセージが表示されます。国名、州、都市などです。

  3. 必要な情報を入力します。

    注:正しい Common Name を入力することが重要です。証明書の作成に使用するホスト名(Common Name)が、WLC の仮想インターフェイス IP に対するドメイン ネーム システム(DNS)のホスト名のエントリと一致していること、およびその名前が DNS に存在していることを確認します。また、VIP インターフェイスを変更した後は、変更を有効にするためにシステムをリブートする必要があります。

    次に例を示します。

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL> 

    必要な詳細情報をすべて入力すると、2 つのファイルが生成されます。

    • mykey.pem という名前を含む新しい秘密キー

    • myreq.pem という名前を含む CSR

  4. CSR の情報をコピーして、任意の CA の登録ツールに貼り付けます。

    サードパーティ CA に CSR を送信すると、そのサードパーティ CA は証明書にデジタル署名をして、署名済みの証明書チェーンを電子メールで返信します。チェーン証明書の場合は、証明書のチェーン全体を CA から受信します。この例で中間証明書が 1 つだけであれば、次の 3 つの証明書を CA から受信します。

    • Root certificate.pem

    • Intermediate certificate.pem

    • Device certificate.pem

  5. この 3 つの証明書が全部揃ったら、各 .pem ファイルの内容をコピーして、次の順序で別の 1 つのファイルに貼り付けます。

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------
  6. All-certs.pem としてファイルを保存します。

  7. All-certs.pem 証明書を CSR と同時に生成した秘密キー(デバイス証明書の秘密キー、この例では mykey.pem)と結合し、ファイルを final.pem として保存します。

    All-certs.pem ファイルおよび final.pem ファイルを作成するには、OpenSSL アプリケーションで以下のコマンドを発行します。

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
           -out All-certs.p12 -clcerts -passin pass:check123 
           -passout pass:check123
      
    openssl>pkcs12 -in All-certs.p12 -out final-cert.pem 
           -passin pass:check123 -passout pass:check123
    

    注:このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。-passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。この例では、-passin-passout の両方のパラメータに対してパスワード check123 を設定しています。

    Wireless LAN Controller にダウンロードする必要のあるファイルは final.pem です。次の手順では、このファイルを WLC にダウンロードします。

CLI を使用したサードパーティ証明書の WLC へのダウンロード

CLI を使用してチェーン証明書を WLC にダウンロードするには、次の手順を実行します。

  1. TFTP サーバ上のデフォルト ディレクトリに final.pem ファイルを移動します。

  2. ダウンロード設定を変更するために、CLI で以下のコマンドを発行します。

        >transfer download mode tftp
        >transfer download datatype webauthcert
        >transfer download serverip <TFTP server IP address>
        >transfer download path <absolute TFTP server path to the update file>
        >transfer download filename final.pem
    
  3. オペレーティング システムで SSL キーと証明書を復号化できるように、.pem ファイルのパスワードを入力します。

    >transfer download certpassword password
    

    注:certpassword に対する値が、「CSR の生成」のステップ 4 で設定した -passout パラメータのパスワードと同一であることを確認してください。この例では、certpasswordcheck123 である必要があります。

  4. transfer download start コマンドを発行して、更新された設定を表示します。次に、プロンプトで y と入力して、現在のダウンロード設定を確認し、証明書とキーのダウンロードを開始します。次に例を示します。

    (Cisco Controller) >transfer download start
     
    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem
     
    This may take some time.
    Are you sure you want to start? (y/N) y
     
    TFTP EAP Dev cert transfer starting.
     
    Certificate installed.
                            Reboot the switch to use new certificate.
  5. 変更を有効にするために、WLC をリブートします。

GUI を使用したサードパーティ証明書の WLC へのダウンロード

GUI を使用してチェーン証明書を WLC にダウンロードするには、次の手順を実行します。

  1. デバイスの証明書 final.pem を TFTP サーバ上のデフォルト ディレクトリにコピーします。

  2. [Security] > [Web Auth] > [Cert] を選択して [Web Authentication Certificate] ページを開きます。

  3. [Download SSL Certificate] チェック ボックスをオンにして、[Download SSL Certificate From TFTP Server] のパラメータを表示します。

  4. [IP Address] フィールドに、TFTP サーバの IP アドレスを入力します。

    csr-chained-certificates-wlc-01.gif

  5. [File Path] フィールドに、証明書のディレクトリ パスを入力します。

  6. [File Name] フィールドに、証明書の名前を入力します。

  7. [Certificate Password] フィールドに、証明書を保護するために使用されたパスワードを入力します。

  8. [Apply] をクリックします。

  9. ダウンロードの完了後、[Commands] > [Reboot] > [Reboot] の順に選択します。

  10. 変更を保存するように求めるプロンプトが表示されたら、[Save and Reboot] をクリックします。

  11. 変更内容を確定するために [OK] をクリックして、コントローラをリブートします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 109597